結果の概要
課題
パトリアナは、共に成長できるSIEMとパートナーを必要としていました。従来のSIEMソリューションでは、Google独自のアーキテクチャに合わせた、信頼性の高いログ取り込みと監視を提供できなかったためです。
完全にGoogleでホストされている組織として、パトリアナは複雑なGoogle環境と統合し、監視できる信頼性の高いセキュリティソリューションを見つけるのに苦労していました。従来のSIEMベンダー(オープンソースおよび有料SIEMプロバイダーを含む)は、Google環境におけるログの取り込みと監視の面で十分ではありませんでした。
統合の課題に加えて、パトリアナはインフラストラクチャのホスティングとストレージの運用負荷を、信頼性、拡張性、セキュリティを保証できるパートナーに任せる必要がありました。複数のベンダーを評価しましたが、Sumo Logicと提携するまで、Googleとの連携、使いやすさ、柔軟な導入といった要件を正確に満たすベンダーはありませんでした。
解決策
パトリアナの情報セキュリティ責任者であるブランドン・ヒューギル氏は、さまざまなベンダーを評価する際、自身の要件を明確にしていました。「チームが拡張していける信頼性の高いツールと、信頼できるパートナーです。」
同様に重要な点として、チームは、静的ルールだけでは捉えにくい危険な行動や内部脅威を特定するのに役立つ、ユーザーおよびエンティティ行動分析(UEBA)が組み込まれたSIEMを求めていました。
彼らは「ガートナーの右上象限にあるトップティアのSIEM」やその他のセキュリティソリューションを評価しましたが、Googleとの統合機能の欠如やログ取り込みの課題により、いずれもPatriannaには適合しませんでした。パトリアナは最終的に、3つの主要な要件に基づいてSumo Logic Cloud SIEMを選択しました。
信頼性の高いGoogle Workspace統合
Sumo Logicのログ取り込み機能は、ハイブリッドおよびマルチクラウド環境全体で動作し、シームレスなデータパイプライン管理を実現します。Sumo Logicの直感的で堅牢なログ取り込み機能により、Patriannaは、従来のソリューションで経験した複雑さや遅延なしに、信頼性の高いリアルタイム監視をようやく実現できました。
柔軟なパートナーシップと価格モデル
Hewgill氏は、常に攻撃的な売り込みのように感じられるベンダーではなく、適切なセキュリティソリューションと真のパートナーシップを構築したいと考えていました。Sumo Logicにより、Patriannaは小規模に開始して価値を検証し、セキュリティプログラムの成熟に応じて利用規模を拡大することができました。
彼らがテストした従来のSIEMは、BigQueryなどの高価なデータストレージソリューションと結び付いていました。Sumo Logicは、予期せぬ予算超過を招くことなく、成長に応じて拡張できる柔軟なデータ取り込みモデルを提供します。
「Sumo Logicとの関係は素晴らしいものでした」と彼は述べた。「これにより、小さなスコープから取り組みを始め、進めながら拡張していくことが可能になりました。」「この料金モデルは、実際に何を使うか正確に分かる前に過剰な契約をしたくない、私たちのような小規模企業には適しています。」
Sumo Logicが提供したこのオープンで協力的な関係により、Patriannaは自社のペースでセキュリティプログラムを成長させることができました。
「必要なほぼすべてのログやデータソースを、信頼性が高く妥当な速度で動的に取り込み、そのデータを測定可能なビジネス価値へと変換できるツールをお探しであれば、Sumo Logic がそのことを私たちに証明してくれました。」「その webhook 接続とデータ取り込みメカニズムにより、開始前に何カ月ものトレーニングを行うことなく、容易にデータを取り込むことができます。」
インフラストラクチャ管理のオフロード
ログの取り込み、保存、処理をSumo Logicに移行することで、Patriannaはインフラストラクチャ管理をオフロードすることができました。これは同社にとって非常に重要なニーズでした。ヒューギル氏は、「インフラストラクチャとストレージを自社でホストするのではなく、信頼性が高く、安全で、常に利用可能であると信頼できるパートナーにその責任を委ねたいと考えました」と述べています。
ブランドン・ヒューギル
情報セキュリティ部長
結果
容易な導入とオンボーディング
Patriannaは、すぐにプラットフォームの利用を開始できました。明確なドキュメントと無料のオンライン研修により、新入社員も経験豊富なアナリストも、時間のかかる立ち上げ期間を必要とせずに、容易にプラットフォームを使い始めることができました。
さらに、ヒューギル氏はSumo Logicのカスタマーサポートチームを信頼しており、それは同氏にとって非常に重要でした。「Sumo Logic社と関係を構築できたことは、私たちにとって本当に重要でした。Sumo Logicは、私たちのニーズや懸念に真摯に耳を傾けてくれると感じています。分かりやすいオンボーディングプロセスと相まって、プラットフォームの利用は非常に容易になりました。」
事前構成済みダッシュボードで価値実現までの時間を短縮
数回クリックするだけで、PatriannaはGoogle Workspace、Microsoft、Okta などのIDプロバイダーといったさまざまなデータソース向けに、事前作成済みのダッシュボードを展開できるようになり、ログインアクティビティ、ユーザー行動、地理的なアクセスパターンを可視化できました。その後、彼らは一から作成することなく、タイムライン、表、位置情報マップなどを含む、一目で実用的なインサイトが得られる独自のダッシュボードを1週間以内に作成することができました。
ヒューギル氏は、「洞察が得られるまでの速さと、結果の返却の早さには本当に驚かされます。大規模なデータセットの検索といった、私たちが負荷の高いクエリだと考える処理を実行する場合でも、結果は非常に迅速に返ってきます。使い始めて以来、より価値の高いインサイトを得られるようになりました。クエリやコードを書いているときには、記述できる内容のスニペットや簡単な例まで提案してくれるので、とても役立ちます。」
監視ルールとDojo AIによる、よりスマートなインシデント検出と対応
集中ログ管理により、Patriannaは潜在的なセキュリティインシデントをより迅速に把握できるようになりました。Sumo Logicの Heads-up Display(HUD)とカスタム監視ルールを使用することで、不可能な移動などの挙動にフラグを立てることができます。
例えば、人事部が下請け業者の認証情報の不正使用を疑う場合、複数のログインイベントを迅速にクエリし、場所をマッピングすることで、実際のインシデントに発展する前に危険な事態が発生しているかどうかを検出できます。
ヒューギル氏は、Sumo Logic Dojo AI に見られるように、プラットフォームが「絶えず革新を続けている」点を高く評価しています。「強力なクエリ機能と直感的なAI統合、そしてMobotを組み合わせることで、不可能なことは何もありません。加えて、プラットフォーム内のノイズを自動的に削減できるため、必要な場所とタイミングで、より効率的なインサイトを得ることができます。」
自社SOCのセキュリティとガバナンス
ログ管理だけでなく、PatriannaはSumo Logicを使用して「監視者を監視する」ことも行っています。彼らは自社のセキュリティ運用チームを監視し、アナリストがアラートにどのように対応しているか、対応の適時性、データや構成への不正な変更が発生していないことなどを、透明性をもって把握できます。
「私たちの経営陣が抱いた大きな疑問の一つは、『監視者が監視されていることをどうやって知るのか?』ということでした。」アナリストが何をしているのか、どのように行っているのか、そしてアラートや指標への対応にどれくらいの時間がかかっているのかを、私たちはどのように把握できるのでしょうか?Sumo Logicなら、その可視性が最初から備わっています。使い始めるのに多くの作業は必要ありません。カスタマイズも可能ですが、柔軟なデプロイメントと組み込みの監視機能により、既に多くの機能が用意されています。
Sumo Logicでは、データは保護されます。一般ユーザーは変更できず、管理者でさえ監査証跡を変更することはできません。それが私たちが求めるセキュリティレベルです。ダッシュボード作成に役立つツールは数多くありますが、適切な検証も重要です。「それを見落とすことはできない」とヒューギルは言った。
アナリストの生産性と満足度の向上
パトリアナのセキュリティチームは、Sumo Logicが非常に使いやすく、日々の業務で高い効果を発揮すると感じています。直感的なインターフェースにより、ユーザーはクエリを投げかけ、即座に有意義な結果を得ることができます。さらに、ダッシュボードをカスタマイズしたり、指標を微調整して特定のニーズによりよく対応できるようになったことで、セキュリティ運用をより効果的に行えるようになりました。
「私たちのチームは、Sumo Logic と仕事をするのが本当に楽しいです。」複雑なドキュメントと格闘する必要はありません。Sumo Logicのドキュメントが、私たちを適切な場所へ直接導いてくれます。当社が保有するすべてのログはプラットフォームに送信されます。管理者情報からセキュリティ情報、ログインデータまで、すべてが取り込まれ、簡単にアクセスできます。ログデータのほとんどはJSON形式なので、その構造に精通している私たちのチームは、情報を迅速に解釈して対応することができ、ワークフローがスムーズになり、日々の業務が楽になります。」
