一目でわかる結果
課題
脅威アクターが外部および内部のソースから発生し得ることを踏まえ、Netskopeのセキュリティチームは内部者脅威を監視する手法の導入を望んでいました。
強固なセキュリティ態勢の維持は、Netskopeにとって不可欠な要素です。Ponemon Instituteの2022年調査によると、内部脅威による組織の被害額は1件あたり1,538万ドルに上るとされ、Netskopeの情報セキュリティアナリストであるSean Salomon氏は次のようにコメントした。「これは企業が失いたくない多額の損失です。それはビジネスとしてよくないし、セキュリティアナリストとしては考えたくなくなる事柄です」
Salomon氏がNetskopeの内部脅威監視のための初期標準業務手順書(SOP)を策定する過程で、手動プロセスでは時間、労力、リソースが過剰に必要となることが明らかになりました。Salomon氏は次のように指摘しました。「手動でのアプローチでは、調査ごとに少なくとも5人の人員、10種類のツール、そして最低90分の作業時間を必要としたでしょう。SOPにしてはかなりのリソースです。さらに、週末や業務時間外など対応体制が手薄な時間帯にリクエストが入ったらどうするのですか?」
Netskopeは、内部脅威監視プロセスの合理化と自動化の重要な一環として、SIEMソリューションの導入を望んでいました。
ソリューション
Netskopeは、内部脅威監視プログラムにおいて、内部脅威の高リスク指標となり得るユーザー行動に関する迅速かつ正確な洞察を必要としていました。そして、同社はリソース制約を緩和するため、このプロセスを自動化したいと考えていました。これには、Netskopeの内部脅威活動を可視化するためのリアルタイムデータ分析への投資が必要であり、そのためにNetskopeはSumo Logic Cloud SIEMを選択しました。
「Cloud SIEMにより、内部関係者によるデータ漏洩の試みを早期に検知できるため、可能な限り迅速に対処し、潜在的な内部脅威の影響を最小限に抑えることが可能となります。そのすべての情報を自動的に取得します。人手ゼロ、タブ切り替えゼロ、たった一つのツールであるSumo Logicに頼るだけで済みます」
—Sean Salomon氏、情報セキュリティアナリスト
結果
内部脅威モニタリングの自動化
クラウドにネイティブに構築されたCloud SIEMは、既成のアプリケーション(すぐに使えるダッシュボード、クエリ、ルールを含む)により、深いセキュリティインサイトを得やすくします。Cloud SIEMはデータを収集し、エンドポイント検知・レスポンス(EDR)、クラウドストレージ、マーケティング・営業ツールなどNetskopeの多様なデータソースを統合することで、一元的なセキュリティ監視と文脈に応じた洞察を提供します。
「Sumo Logic Cloud SIEMを活用することで、Netskopeの内部脅威モニタリングに関する標準的な運用手順全体が完全に自動化されました。これにより対応時間が大幅に短縮され、人的ミスの発生率が低下し、効率的かつ効果的な意思決定が可能になります」とSalomon氏は述べました。
データ漏洩の試みに対する堅牢な分析
内部脅威の調査において、Sumo LogicはNetskopeが履歴データを分析し、ユーザーの現在の活動を監視することを可能にします。「従業員が退職を計画している際、組織の利益に反する行動を取る可能性は常に存在します。Cloud SIEMはこのリスクを軽減するのに役立ちます」とSalomon氏は述べました。
NetskopeはCloud SIEMのコンテンツ管理APIを活用し、ユーザーが大量データダウンロードを開始した場合や、個人用または競合他社のメールアドレスを使用して外部へデータを共有しようとする試みを検知します。もちろん、ユーザーがデータを外部USBにコピーしようとする可能性もあり、Cloud SIEMはこの動作も監視します。ソリューションの検索APIを活用し、Salomon氏は5秒ごとにユーザーが外部USBドライブにデータを転送したかどうかを検知する検索ジョブを設定しました。
このワークフローでは、必要な情報をすべて自動収集するために200~300のアクションを要する場合があります。チームはもはや、様々なAPIエンドポイントや多様なツール群に接続し、認証情報を共有する必要がありません。
