Medidata、Sumo Logicでセキュリティ分析の解決策を発見

課題

Medidataは、自社システムのセキュリティ態勢に関する洞察を得るとともに、オンプレミスシステムおよびクラウドサービス内部からの攻撃の潜在的な兆候を検知できる必要がありました。これにより、攻撃を可能な限り迅速に阻止し、顧客に対して自社の高いセキュリティレベルを実証できるようにするためです。

結果

Medidataは毎月2テラバイトを超えるシステムイベントデータを記録しています。Sumo Logicにより、Medidataはクラウドシステムにおいてもオンプレミスシステムと同レベルのセキュリティ可視性を実現しています。これにより、Medidataはこれまで検出されなかったであろうセキュリティインシデントを、事前に解決できるようになりました。

「Sumo Logicは、当社のハイブリッドインフラストラクチャの効果的な管理とイノベーションの加速を支援しました。現在、オンプレミスのデータセンターとクラウドアプリケーションの両方からログを収集し、それらを分析してリアルタイムでアクションを実行できます。それこそが最大の価値なんです」Glenn Watt氏、CISO、Medidata

このように、Medidata Clinical Cloudは、ライフサイエンス企業が臨床試験に関連するリスクを軽減し、成果を向上させると同時に、コストと完了までの時間を削減することを支援します。Medidataの顧客基盤は、バイオ医薬品企業、医療機器・診断機器企業、学術機関・政府機関、CRO（契約研究機関）、その他の研究機関に及び、生命を豊かにする医療治療法や診断法を開発する世界のトップ25製薬企業のうち24社をカバーしています。

1999年にニューヨークで設立され、現在は米国、英国、日本にオフィスを構えるMedidataは、事業運営とサービス提供においてテクノロジーを多用しています。そのビジネステクノロジーには、オンプレミスデータセンターとパブリッククラウドシステムの組み合わせが含まれます。現在、テキサス州ヒューストンにあるMedidataの従来型データセンターでは、同社の事業中核をなすオンプレミスアプリケーションを複数稼働しています。これにはプラットフォームホストである電子データ収集（EDC）システムや、臨床試験における重篤な有害事象の可能性を特定するSafety Gatewayが含まれ、後者はMedidataの情報を収めた最大の保管庫となっています。「そのデータセンターは非常に重要で規模も大きいですが、Medidataが依存するその他のアプリケーションはAmazon Web Services（AWS）内で稼働しています」と、Medidataの最高情報セキュリティ責任者（CISO）であるGlenn Watt氏は述べています。

透明性と洞察力の必要性

Medidataは、自社のシステムとデータを保護するため、物理データセンター内に多数のセキュリティ制御とプロセスを備えた成熟したセキュリティプログラムを導入するとともに、AWSセキュリティグループなどのAWSが提供するセキュリティ機能を活用していました。既存のオンプレミスおよびクラウドシステムのセキュリティ確保に向けた取り組みに加え、Medidataは自社のシステムにおけるセキュリティイベントの可視性を向上させ、クライアントに対して高いセキュリティ管理水準を実証し、データ漏洩を防止し、攻撃をほぼリアルタイムで分析できる体制を構築する必要がありました。

Watt氏が達成する必要があったのは、Medidataのログファイルやシステムファイルを分析し、何かがうまくいかなくなっている可能性や攻撃が進行中であることを示す事象を検知する能力なのでした。チームは、過度に厳密に調整すると無数の誤検知を発生させ、過度に緩く調整するとインシデントを完全に見逃してしまう、時代遅れのシグネチャベースまたは侵入検知システムに依存することなく、これを実現する必要がありました。「月間約2テラバイト弱のログファイルを生成しています。現実的に、あの膨大なデータすべてを精査して攻撃を検知するために必要な相関関係を特定できる人間はいません。だからこそ、強力なセキュリティデータ分析能力が必要だったのです」とWatt氏は語ります。

さらに、この機能は、Medidataの顧客の一部が抱える懸念、すなわち自社の業務の多くがクラウド上で稼働していることへの懸念を大幅に軽減するのに大きく寄与するでしょう。データの性質と、今日増大している第三者による審査およびデューデリジェンスの量のため、多くのMedidataのお客様は、クラウドベースのシステムをどのように保護しているかについてMedidataに疑問を呈しています。「お客様から見た場合、まず目につくのは当社がクラウド上で相当な規模の事業を展開している点です。一部の人々は、クラウドに対する根深い懸念や、それが安全でない可能性があるという事実から、非常に懐疑的です。そのデータは脆弱であり、最悪の場合、データの改ざんさえ起こり得ます」とWatt氏は言います。

適切なソリューションを見つけるため、Watt氏は当初、市場で入手可能な主要なSIEMと数多くのセキュリティデータ分析ツールを評価しました。残念ながら、オンプレミスとAWSの両方で動作するものはごくわずかであり、多くの場合、機器はオンプレミスに設置する必要がありました。「私たちが評価したすべてのベンダーに対して最初に尋ねたのは、そのシステムがAWS内で動作するかどうかでした。「動作しないのであれば、話はそこで終了でした」とWatt氏は言います。「しかし、そのソリューションはAWS内で機能するだけでは不十分でした。当社のデータセンターでも動作する必要があり、追加のハードウェアやソフトウェアを一切必要としないソリューションを求めていたのです」

Sumo Logicへの移行

慎重な評価を経て、Medidataはクラウドネイティブのデータ分析ソリューションでこれを達成できると判断し、Sumo Logicを選択しました。Sumo Logicは、Medidataのインフラストラクチャ全体およびアプリケーションスタック全体にわたり、リアルタイムかつ継続的なインテリジェンスを提供し、オンプレミス環境とAWSのイベントログの両方から監査対応のコンプライアンスレポートを自動生成するソリューションをMedidataに提供しました。Sumo Logicは、ネットワーク、サーバー、アプリケーションスタックを横断した統合ビューにより、Medidataがクラウドおよびオンプレミス環境の監査を簡素化し、セキュリティ体制を強化する方法も提供します。

さらに、機械学習アルゴリズムによる予測分析は、ルールや事前定義されたスキーマに依存することなく未知のセキュリティイベントを発見し、差し迫った脅威を未然に防ぎます。Watt氏は、スムーズなSumo Logicの導入に満足していました。「文字通り数分で起動して動作しました」とWatt氏は言います。「当社のエンジニアはSumo Logicのエンジニアリングチームと協力し、わずか20分で作業を完了させ、それ以来、その手軽さは変わっていません。最初のレポートから、日々の業務において極めて有用な実践的な情報を得ることができました」

重要なものだけを見る

月に約2テラバイトのログデータが生成される中、Watt氏は重要とそうでないものを迅速に選別する方法を必要としていました。「Sumo Logicはその点で非常に優れています。間違いありません。Sumo Logicを導入する前は、自分たちが何をわかっていないのかさえ認識していませんでした。そのため、様々な事態が進行し、脅威が目の前に迫っているのに、気付くことさえできていませんでした。Sumo Logicを導入したことで、まるで目隠しを外されたかのように、ビジネスに影響を与えかねない要因を可視化できたのです」とWatt氏は語ります。

Sumo Logicはまた、Watt氏がメディデータの高度なデータセキュリティとインシデント対応能力を実証するのを支援しました。「当社には、セキュリティ対策に関して当社の取り組み内容を把握する必要がある顧客がいます。Sumo Logicが提供するレポートによって、顧客が必要とする証拠が提出できるのです。Sumo Logicの導入により、Medidataはセキュリティ対策の効果をより容易に実証できるようになったほか、AWS上のイベントを可視化し、発生する可能性のある不審なトラフィックを特定する能力を獲得しました。また、この報告はMedidataが米国食品医薬品局（FDA）のCFR Part 11に準拠する上でも役立ちます。同規制はMedidataが満たさなければならない数多くのサイバーセキュリティ関連要件を義務付けています。

リアルタイムでの攻撃検知

規制順守や監視のための監視、コンプライアンスや顧客の主張だけではありません。Sumo Logicは実行可能なセキュリティ情報も提供し、進行中の攻撃を実際に阻止することに成功しています。「ある夜遅く、Sumo Logicが当社のサーバーに対する攻撃と思われる事象についてアラートを発動しました。通報を受けて数分以内に、これは攻撃であろうという結論に至り、発信元を遮断しました」とWatt氏は振り返ります。

Sumo Logicは、Medidataが数分以内にその明らかな攻撃の根本原因を特定するために必要な洞察を提供しました。その明らかな攻撃は顧客のサーバーから発生していました。Watt氏は電話で顧客に連絡を取りました。観察されていた現象が進行中の攻撃か、あるいは誤検知である可能性があると考えたからです。いずれにせよ、顧客に知らせることが重要でした。しかし、顧客はWatt氏に対し、その週末にペネトレーションテストを実施していたことを伝えたのです。

「ペネトレーションテスト中に誰かが誤った操作を行ったため、攻撃対象が自社サーバーだけでなく、Medidataが顧客と共同利用していたサーバーにも及んでしまったのです。攻撃を検知し、数分以内に阻止したと伝えました。今後も何かを検知するたびに、同じ対応を取るつもりです」とWatt氏は語りました。「顧客らは仰天していました。私たちがあれほど迅速に対応できたこと、そしてあのようなレベルで顧客らを守っていたことに信じられなかったのでしょう。「それはSumo Logicなしでは実現できなかったでしょう」とWatt氏は言います。

「Sumo Logicへの移行はあらゆる面で大きな成功を収めました。物理データセンターとAmazon Web Servicesの両方で、必要な情報を確認できます。Watt氏は次のように述べています。「Sumo Logicは、セキュリティプログラムに関して顧客が知る必要のある情報を裏付けるのに役立っています。当社が把握していない攻撃や活動が数多く存在する可能性がありますが、Sumo Logicによってそうした活動を可視化できるようになったのです」