一目でわかる結果
課題
Endowusはセキュリティ態勢の強化、ツールの合理化、アラート疲労の軽減が必要でした。
Endowusが3年前にセキュリティスタックの構築を開始した際、すぐにツールの乱立が深刻化しました。メールセキュリティやデータ漏洩防止ソリューションを含む様々なセキュリティツールを導入した結果、複数のソースからアラートが殺到し、膨大な量の通知や警告が発生しました。さらに、セキュリティチームは複数のダッシュボードにまたがるアラートシステムを常に監視し、微調整する必要があり、セキュリティ管理は複雑で時間のかかる作業となっていました。
可視性の回復と効率性の向上のため、Endowusの情報セキュリティ責任者である Alvin Lim氏は、セキュリティツールを単一の集中型プラットフォームに統合できるクラウドSIEMソリューションを探していました。
ソリューション
3つの異なるロギングソリューションと協議し、そのうち2つで概念実証(POC)を実施した結果、最終的にSumo Logicが選ばれました。その主な理由は、統合の容易さ、保守性、そして高度なアラート調整機能の3つです。
既存ツールとの統合が容易
Sumo Logicのクラウドネイティブアーキテクチャにより、EndowusはAWS、SentinelOne、Google Workspace、および自社のセキュアWebゲートウェイを含む主要データソースを簡単に統合できました。他のベンダーが複雑な設定や追加の回避策を必要とするのとは異なり、Sumo Logicはセキュリティ環境全体におけるログ取り込みと継続的な可視化を合理化しました。
「評価したもう1社のベンダーはクラウドネイティブではなかったため、ログデータを適切に取り込むにはより多くの手間がかかりました。「Sumo Logicを導入して以来、統合はシームレスです」とLim氏は語ります。
アラートの調整と調査時間の短縮
Sumo Logic導入前は、チームはアラート疲労に圧倒され、各アラートの調査に約1時間を費やしていました。Sumo Logic導入前の日々を振り返り、Lim氏はこう語ります。「対応すべきか判断がつかないアラートが殺到し、エスカレーションが必要かどうかも分からず、チームは大きな不安を抱えていました。Sumo Logicにより、何が起きているのかを明確に把握でき、調査時間が短縮されました」
クラウドネイティブの柔軟性とスケーラビリティ
エンジニア2名という小規模チームであるEndowusには、不要な負担をかけずに管理しやすいソリューションが必要でした。Sumo Logicの直感的なプラットフォーム、すぐに使えるルール、自動化されたルールメンテナンスにより、深い技術的専門知識を持たないチームメンバーでもセキュリティ運用に貢献できるようになりました。
高い投資利益率と正当化可能な投資
Endowusにとって、コスト効率は適切なセキュリティソリューションを選択する上で重要な要素でした。機能や性能を超えて、ROIが正当化される必要がありました。Sumo Logicは包括的なセキュリティ製品群だけでなく、競合他社と比較して手頃な価格設定でも際立っていました。
Lim氏はSumo Logic Flex Licensingも活用したため、コストはデータ取り込み量ではなくインサイトと分析量に基づいており、進化するニーズに合わせて拡張可能でした。この柔軟性により、ユースケースの変化に応じてスケールアップまたはスケールダウンが可能となり、コストを管理しながら新たな要件に適応することができました。
「新しいツールの予算承認は、そう容易く取れるものではありません。セキュリティリーダーとして、私たちは確信を持つ投資を推進しなければなりません。Sumo Logicはサービスの価値が明確に理解できたため、理にかなった選択でした」とLim氏は述べました。
「Sumo Logicは、影響力の大きい発見を特定し、調査と修復への明確な道筋を示すことで、影響力の加速を支援します。これらすべてが、合理化された統合型クラウドSIEMプラットフォームを通じて提供されます」
—Alvin Lim氏、情報セキュリティ責任者
結果
アラートの調査時間を90%削減
Sumo Logic Cloud SIEMを活用することで、Endowusチームは不審な活動を迅速に特定し、誤検知を減らし、すべてのアラートが確実に対処可能な状態に保つことができます。以前は、個々のアラートごとに1時間かけて調査していました。現在、良性のアラートはわずか5分から10分で解決できるので、チームは真の脅威に集中できるようになりました。
インシデント検知と対応の強化
データサイロを排除することで、Endowusは自社のセキュリティ環境を包括的に把握し、攻撃経路の追跡やインシデントの根本原因の特定を支援しています。
ある事例では、Sumo LogicがEndowusのフィッシング攻撃を早期に検知し、深刻な影響が出る前に防ぐことに貢献しました。Endowusの各種ツールからのデータを統合することで、チームは不審な行動を迅速に特定し、重大な損害が発生する前に脅威を軽減しました。
このインシデントを振り返り、Lim氏は次のように述べています。「Sumo Logicのおかげで、攻撃の発生源を早期に検知し、実際の被害が発生する前に対処することができました。さらに、Sumo Logicに取り込んだ追加ツール群を活用し、被害の全容を評価するとともに迅速に軽減措置を講じました」。
Sumo Logicのユーザーフレンドリーでゲームのようなダッシュボードは、Endowusのセキュリティチームがインシデントの進行状況を容易に追跡し、様々なデータポイント間の関連性を把握するのに役立ちます。技術に詳しくないユーザーでも簡単にシステムを操作できるため、調査がより迅速かつ効率的に行えます。
「Sumo Logicプラットフォームは、視覚的な魅力があり、応答性にも優れているため、大量のデータの管理や処理、分析が容易になります。これにより、プロセスにおける摩擦の原因となる遅延を最小限に抑えることができます。Sumo LogicのUI全体が非常に反応が良く、私たちの関心を維持し、勢いを保つのに役立ちました」とLim氏は述べました。
カスタマイズされたリスク選好に合わせたアラート管理
EndowusはSumo Logicのカスタマイズ可能なアラート管理機能を活用し、セキュリティ監視を自社の固有のニーズにより適切に適合させています。Endowusは、異なるデータソースごとに閾値を調整することで、アラート疲労を最小限に抑え、受信するアラートが実行可能で意味のあるものであることを保証します。
「各ツールとデータソースごとに閾値を調整し、リスク許容度に合わせて調整できるようにしたかったのです」とLim氏は説明します。「例えば、Googleドライブではユーザーの行動を追跡し、セキュリティを損なうことなくチームが柔軟に対応できるようにしています。ユーザーが短期間に過度に機密データをダウンロードした場合、当社に通知され、直ちに調査が可能です」
将来的に、Lim氏はSumo LogicのUEBA(ユーザー・エンゲージメント・ベースド・アナリティクス)やその他のAI搭載機能を活用し、自動化とAIによるアラート管理の強化を目指しています。
「手動でしきい値を調整しただけで、アラートの品質が向上していることが確認できました。Sumo LogicのAI機能の可能性を探り、プロセスをより効率化できることを楽しみにしています。これらの機能により、セキュリティチームは潜在的な脅威を特定し、解決し、是正することが可能になります。私たちはカバレッジを拡大し、より迅速に是正措置を講じたいと考えており、Sumo Logicがこうした機能を提供することで目標達成を支援してくれることに大変満足しています」
従業員満足度の向上
全体として、EndowusはSumo Logicの導入以来、チームの満足度が向上していることを確認しました。Sumo Logicへの移行後、Limはセキュリティ運用がより効率的になり、チームの士気が向上していることに気づきました。
「イライラが少なくなりました」とLim氏は言いました。「以前は、6つか7つのアラートを確認しなければならず、そのうち5つは役に立たいものでした。Sumo Logicでは、もはやそうではありません。チームの士気を高めるのに役立ち、メンバーはサービスの可能性を探求することに意欲的になっています。それは彼らが以前よりも仕事をより良く行う力を与えているのです」
よりよい視認性と安心感
Sumo Logicを導入する前、Endowusは重大な課題に直面していました。AWSセキュリティアラートの可視性が不足していたため、セキュリティチームが徹底的な調査を行うことが困難であり、しばしば不安感が残る状態が続いていました。
「以前は、私たちは圧倒されていました」とLim氏は振り返りました。「複数の警報が相次いで届き、それらに対処できないことが私たちに不安感をもたらしていたのです。さらに懸念されたのは、検知できないまま見過ごされている現実の脅威が存在している可能性でした」
Sumo Logicがすべてを変えた。AWS CloudTrailのログをCloud SIEMに連携させることで、Endowusは複雑なルールセットを手動で維持する必要なく、セキュリティイベントに対するより深い可視性を実現しています。Cloud SIEMがMITRE ATT&CKなどのセキュリティフレームワークとアラートを自動的に相関分析することで、Endowusは発生した事象と潜在的な脅威に関する実用的な知見に加え、リスクを軽減するための是正措置を取得します。
「Sumo Logicは、影響力の大きい発見を特定し、調査と修復への明確な道筋を示すことで、影響力の加速を支援します。これらすべてが、合理化された統合型クラウドSIEMプラットフォームを通じて提供されます」とLim氏は語りました。
簡単な導入と継続的なサポート
EndowusはSumo Logicの経験がほとんどなかったにもかかわらず、Sumo Logicのカスタマーサクセスチームのサポートにより、短期間で迅速に導入を進めました。初期の概念実証から完全導入に至るまで、彼らは実践的なサポート、対面トレーニング、Sumo Logic認定プログラムの恩恵を受け、Sumo Logicの全機能を最大限に活用することができました。
Lim氏は次のように述べています。「Sumo Logicの経験はほとんど、あるいは全くない状態から始めましたが、Sumo Logicのカスタマーサクセスチームのサポートがあれば、学ぶことは難しくありませんでした。カスタマーサクセスチームは、当社のチームの延長線上として機能し、迅速に完全に業務に慣れるよう支援してくれました」
Lim氏は、様々な理由から他のセキュリティリーダーにSumo Logicを推奨していると強調しました。「Sumo LogicのROIは非常に高いのです。費やした費用に見合った価値が得られます。さらに重要なのは、必要な時に高度なフォレンジック調査を実施できる能力があるという安心感を得られることです。これはセキュリティ目標の達成を支援する強力なツールです。Sumo Logicは、充実した機能セットを備えた高評価のツールであり、お客様の重要なセキュリティ成功基準を満たすことを保証します」
