SPS CommerceがいかにしてSumo Logicからのセキュリティインサイトを活用し、サイバーセキュリティを向上させているか
一目でわかる結果
課題
サイバー脅威から守りつつ、成長し変化し続けるビジネスのペースに合わせることは困難でした。
広範なインフラストラクチャのサイバーセキュリティを管理するため、SPS Commerceは、内部のセキュリティオペレーションセンター(SOC)チームと、アラート監視を24時間365日体制で支援するマネージドサービスプロバイダーを含む、ハイブリッドな人員構成モデルを使用していました。
SPS CommerceのSOC兼インシデントレスポンスマネージャーであるNick Kemske氏は、「攻撃者は一度成功すればよいのに対し、私たちのSOCチームは100%の確率で成功し続けなければならないというのは、ある種の真理です。そのため、脅威を検知し対応するための可視性とデータがどうしても必要でした」と語っています。
ソリューション
社内のアタックサーフェス(攻撃対象領域)全体の可視性を得るため、SPS Commerceはすべてのデータソースへの中央アクセスを確保し、SOCチームに正確なセキュリティの可視性とインサイトを提供したいと考えていました。これには、SIEMソリューションへの投資が必要でした。
SOCチームの要件の一部として、環境を監視するために社内の他の部門が収集していたものと同じシステム、ログ、メトリクスを確認できるという付加価値を提供するソリューションを求めていました。インフラストラクチャチームがすでにオブザーバビリティのユースケースでSumo Logicプラットフォームを活用していたため、同社にとって最適なソリューションとなりました。
「SIEMを選定する際、インフラストラクチャ担当のパートナーが行っていることから大きく逸脱したり、切り離されたりすることは避けたいと考えていました」。SIEMのニーズを含めるようにSumo Logicの利用を拡大することで、問題が発生した際により適切にチームと協力・連携する機会が得られます」と述べました。

Nick Kemske氏
SOC・インシデント対応マネージャー
結果
SOCのニーズをサポートするための迅速な導入と立ち上げ
インフラストラクチャチームがすでにSumo Logicプラットフォームを導入し、インフラデータソースからログを収集していたため、SOCチームはスムーズに導入を開始することができました。プラットフォームの「クラウドコレクター」を活用することで、CrowdStrikeやTenableといったセキュリティツールからのデータソース追加も、すぐに利用可能な状態で統合することができました。
Kemske氏は、「Sumo Logicは、標準のセキュリティルールセットのようにアプリケーションにあらかじめ組み込まれているすべての機能を活用することで、簡単に使い始めることができます。プラットフォーム全体の仕組みに関する素晴らしいドキュメントが豊富にあるため、非常に迅速に習熟することができました」と述べました。
セキュリティテレメトリとインサイトの単一ソース
Sumo Logicが必要なすべてのログデータを取り込むようになったことで、現在このソリューションはSOCチームにとって「信頼できる唯一の情報源」となっています。「セキュリティ監視に関するすべてのデータはSumo Logicに集約されます。私のチームには『セキュリティと全監視の重要性を考えるなら、すべてのデータはすべてを意味する』という言葉があるのです」とKemske氏は述べています。
スイッチやルーターからAWS、Azureのログに至るまで、あらゆるテレメトリデータがSumo Logicに集約され、アラートのトリアージや企業インフラ全体にまたがる脅威の相関分析が行われています。SOCチームは、セキュリティ分析のユースケースに応じてSumo Logicの柔軟なデータティアリングを活用し、Cloud SIEMで継続的に処理および分析すべきデータソースを指定しています。
統合された脅威インテリジェンスフィードを活用し、Cloud SIEMの700以上の定義済みルールと、チーム独自のカスタムルールを組み合わせることで、より詳細で実用的なインサイトを得ることができています。「そのすべてがCloud SIEM上で組み合わさることで、私たちの調査ワークフローが開始されます。本当に素晴らしく、シームレスな流れです」とKemske氏は高く評価しています。
自動化とシングルビュー(単一画面)による迅速な調査
Cloud SIEM導入前、SOCチームの調査ワークフローは20もの独立したシステムダッシュボードに依存しており、会社全体の状況を把握するには膨大な手作業が必要でした。Cloud SIEMの導入により、チームはツールを切り替えることなく、単一のコンソールから環境内で起きていることをすべて可視化できるようになりました。
Kemske氏は、「Cloud SIEMは、私たちの非常に型通りの手動プロセスから、より自動化されたプロセスへの移行を支えてくれました。これは可視性の向上と調査時間の短縮に非常に役立っています。また、Cloud SIEMから簡単にJIRAチケットを発行できるため、デリバリーチームやパートナーが期待する形で、より適切に連携できるようになりました」と説明しました。