一目でわかる結果
課題
オンプレミスインフラの管理がDXLの足を引っ張っていました。拡大する環境を適切に処理できるクラウドネイティブのSIEMを探していました。
DXLのセキュリティチームは5名のエンジニアからなる精鋭チームであり、従来のオンプレミス型SIEMソリューションであるLogRhythmの維持管理に手一杯の状態でした。手動での製品更新は時折システム停止を引き起こし、ストレージの制限によりデータ保持が制約され、ハードウェア問題のトラブルシューティングはエンジニアたちの肩にかかっていました。事業が拡大し、より近代的なクラウドベースのサービスを採用するにつれ、オンプレミスのツール群は対応できなくなりました。
サイバーセキュリティ・ネットワーク部門責任者であるJohn Sacchetti氏はクラウドネイティブのSIEMが必要だと把握していました。自社の成長に合わせて拡張可能で、分散したツールを統合し、近代化され安全な運用への移行を支援できるSIEMを、チームは必要としていました。
ソリューション
新しいSIEMソリューションを探す中で、Sacchetti氏はログ分析時間を大幅に短縮し、迅速な対応を可能にし、拡大するサードパーティツールのエコシステムとシームレスに統合できるツールを求めていました。Google Security Operations、Splunk、その他のSIEMプラットフォームを評価した結果、Sumo Logic Cloud SIEMに解決策を見出したのです。
単一の集中型プラットフォームにおけるシームレスなサードパーティ統合
多数のサードパーティツールと新技術への継続的な投資を考慮すると、複数のソースからのデータを統合・集中管理できるプラットフォームが最優先事項でした。
Sumo Logicは、多様なプラットフォームからのログを取り込み、相関分析し、解析する能力において際立っていました。Sacchetti氏は、主要なコンテンツ配信ネットワーク(CDN)であるAkamaiをはじめ、Azure ADやAWSなどの認証ツールを含む重要システムが、リアルタイム監視と脅威検知を実施するために、単一プラットフォームへと容易にデータを供給できるようにしたかたのです。
「当社では、ビジネスを継続的に変革し、顧客向けの新サービスを追加し、ウェブサイトを更新し、売上創出のための様々な統合を進める中で、ツールボックス内のSumo Logicの力を活用することで、ログの取り込み、レポート作成、検索を確実に実行できると確信しています。また、それらのサードパーティからレポートを構築することも可能です。Sumo Logicが現在サポートしているかどうかにかかわらず、あらゆるデータを投入し正規化できるのが強みです」とSacchetti氏は述べています。
組み込みアプリによるPCI準拠の簡素化
DXLの要件の一つは、追加負担をかけずに規制要件への対応を容易にするソリューションでした。Sumo Logicの組み込みPCI準拠アプリケーションが、同プラットフォームを選択した主な理由でした。「大手企業と同様にPCI準拠を維持しなければなりませんが、私たちには大企業のようなリソースがありません。Sumo Logicはそのギャップを埋める手助けをしてくれます」。
Microsoft Windowsログ、AWSログ、ファイアウォールイベントなどを網羅する既成のダッシュボードにより、Sacchetti氏のチームは手動作業なしで、異常な入出トラフィックや不正なサーバーアクセスといった潜在的なコンプライアンス問題を容易に検出できます。
標準装備およびカスタムダッシュボード
異なるSIEMソリューションを評価する際、Sacchetti氏はダッシュボードにおける使いやすさと柔軟性を重視しました。既成のダッシュボードと独自のニーズに合わせたカスタムビューの両方をサポートできるツールを必要としており、Sumo Logicがそれを提供していたのです。経営陣が特定のデータを要求した場合、複数のツールを操作したり手作業で情報を組み合わせたりすることなく、即座にリアルタイムの洞察を引き出すことができます。
DXLのセキュリティチームは、特定のプラットフォームからのログデータが必要な場合でも、セキュリティメトリクスのハイレベルなビューが必要な場合でも、わかりやすい形式でレポートを迅速に作成し、さらにユーザーの好みや優先順位に基づいて調査結果をカスタマイズすることができます。
Sacchetti氏は、Sumo Logicがあらゆる課題を処理する能力を高く評価しました。「ダッシュボード作成やフィールド分散ルールといった重労働や面倒な作業をSumo Logicが代行してくれる点は、私たちにとって大きなメリットです。これにより業務負荷が軽減され、セキュリティインサイトを社内でより効果的に共有できるようになりました」
「私がSumo Logicに投げかけた課題で、処理できなかったものはありません。技術スタックがどれほど単純であれ複雑であれ、必要なデータを取り込み、正規化し、報告してくれるため、私たちの業務が格段に楽になります。そして、これまで受けたサポートは、私がこれまで使ってきた製品とのパートナーシップの中で、最高のものの一つでした。」
—John Sacchetti、サイバーセキュリティ・ネットワーク部門責任者
結果
リアルタイムの洞察により、ログ分析が5分から数秒に短縮
Sumo Logicを活用することで、DXLのセキュリティチームは、内部チームや関係者に重要な知見を収集・提供するために要する時間を大幅に短縮しています。Sumo Logicにすべてが集中管理されているため、ユーザーは瞬時に検索を実行し、レポートを生成し、ダッシュボードをカスタマイズできます。
SaaSプラットフォームの可視化機能に表示されるまで5分かかっていたログが、今では瞬時に表示されるようになりました。結果を待たされることがなくなり、チームは問題を即座に発見し数秒で対応できまする。セキュリティにおいて一瞬一瞬が重要な局面では、これは大きな変革をもたらします。
「分析作業の多くを省略できます」とSacchetti氏は述べました。Sumo Logicではあらゆる情報を真実の源として扱うことで、データを取得し、検索を保存し、異なる要求に応じて簡単に調整することが可能になります。毎回ゼロから始める必要はありません。
効率的なログ検索および相関関係
以前の設定では、ログ検索と分析に時間がかかっていました。彼らは潜在的な脅威を調査するために様々なツールを掘り下げて調べなければいけなかったのですが、今ではすべてSumo Logicに任せられます。
Sacchetti氏は次のように述べています。「わずか数回のクリックで、攻撃トラフィックの試みが発生しているかどうか、ユーザーがどこに向かっているか、あるいはトラフィックがどこにあるかを検出できます。CDN経由で流入するトラフィック量を確認する際、ログ検索内の相関分析機能は非常に重要であり、現在最も頻繁に利用する主要機能となっています」
毎分50~100件のアクセス拒否エラーを検知し解決
Sumo LogicのLogs for Securityは、見過ごされていた可能性のある設定ミスを検知・解決し、より重大なセキュリティインシデントの発生を防ぐのに役立ちます。チームはAWS CloudTrailログ内の設定ミスを発見し、1分あたり50~100件の「アクセス拒否」エラーが発生していたことを明らかにしました。これはチーム規模が小さいため、手動での特定が困難だったであろう問題です。
Sacchetti氏はソリューションを活用することで異常なパターンを容易に検出できようになり、「Sumo Logicは設定ミスやその他の潜在的なセキュリティインシデントを発見するための監査役として機能しています」と述べています。
アクセス拒否エラー以外にも、トラフィックの変動やエラーの急増を検知する能力は、悪意のある行為か単なる設定上の問題かをチームが判断するのに役立ちます。問題を早期に対処することで、DXLはセキュリティを強化するだけでなく、非効率なプロセスに伴う不要なクラウドコストも回避します。
コンテキスト検索と統合による脅威調査の高速化
Sacchetti氏は、Sumo Logic Cloud SIEMを活用してIPアドレスを文脈的に検索することで、潜在的な脅威の検知に重きをおいています。VirusTotalやAbuseIPDBなどのサービスとの組み込み統合により、疑わしいIPアドレスの評判価値を即座に評価できます。
複数のツールを手動で検索する必要なく、悪意のあるトラフィックの遮断など、より迅速な意思決定を行うことができます。Sacchetti氏はこの機能が調査を効率化すると強調し、Sumo LogicのAPIとファイアウォールを介してさらに自動化できる可能性すらあると指摘しています。
ツール統合によるセキュリティ運用の簡素化
Sumo Logic導入以前、DXLのセキュリティチームは、オンプレミス環境とクラウド環境の両方で、ログの相関分析、グループポリシー変更の追跡、ユーザーやグループの変更監視を行うために、複数のツールを駆使する必要がありました。
現在、すべてがSumo Logicに一元化されたことで、彼らのチームはセキュリティ分析と調査のための単一の信頼できる情報源を手に入れました。
継続的なカスタマーサポートとパートナーシップ
技術そのもの以上に、Sacchetti氏はSumo Logicがソリューション導入当初から提供してきたカスタマーサポートを強調しています。オンボーディングから日常業務に至るまで、Sacchetti氏によれば、Sumo Logicのカスタマーサクセスチームは常に迅速に対応し、DXLの成功に注力しています。
経験豊富なメンバーも新入メンバーも、Sumo Logic内で学び成長するための無料ツールを提供されています。例えば、Sumo Logic認定プログラムや月例のブラウンバッグセッションなどがあり、これらはチームが製品に精通するのに役立ちます。
Sacchetti氏は次のように述べています。「私がSumo Logicに投げかけた課題で、処理できなかったものはありません。技術スタックがどれほど単純であれ複雑であれ、必要なデータを取り込み、正規化し、報告してくれるため、私たちの業務が格段に楽になります。そして、これまで受けたサポートは、私がこれまで使ってきた製品とのパートナーシップの中で、最高のものの一つでした」
