ExtraHopをセキュリティ分析の主要なデータ・ソースに使用し、SIEMコストを劇的に削減
迅速で高精度の洞察と、分析を最優先に据えたSecOpsワークフローによるリアルタイムのセキュリティ対応
脅威を掘り下げる合理化された手法を備えた、すべてのシステムとデバイスにわたる完全な可視性
始まり
ある大手ヘルス・ソリューション・プロバイダは、コスト削減と同時にITセキュリティ体制の向上を目指していた
Accoladeの最優先事項は一流のサービスを提供することであり、実際、優れたサービスを提供することで知られています。Accoladeの顧客は、業界をリードするエンゲージメント・レベル、医療業界には見られない満足度スコア、優れた臨床成果、そして10%を超えるコスト削減を体験しています。顧客の満足度を維持するための主な要素は、顧客データのセキュリティを確保することです。
Mike Sheward氏は、2016年初頭にAccoladeに入社するとすぐ、同社がコストの合理化とITセキュリティ体制の向上を目指す時期にあることに気付きました。当時、Accoladeはマネージド・セキュリティ・サービス・プロバイダ(MSSP)を利用して商用SIEM製品をデプロイしていました。
このMSSPと商用SIEMのコストとして年間約20万ドルを支払っており、さらに商用SIEMソリューションに対する可視性はきわめて限定的で、自社環境のセキュリティの監視についてもMSSPに完全に依存していました。
ExtraHopと、ExtraHopを軸に構築したSIEMにより、弊社のセキュリティ担当者が確認しなければならないウィンドウは多くても2つになりました。一方のウィンドウでは何が起こっているかがわかり、もう一方では何がダウンしていて、どうやって修正すべきかがわかります。
Mike Sheward氏
情報セキュリティ担当シニア・ディレクタ,
Accolade
転換
制御を取り戻し、ビジネスに合わせて拡張できるセキュリティ・ソリューションを導入する
Sheward氏はセキュリティ・チームと協力して、セキュリティ・ソリューションの構築に乗り出しました。コストを抑えて制御を社内に取り戻す、より適切にビジネス・ニーズを満たすセキュリティ・ソリューションです。この取り組みの成果が、AWSでホストされるカスタムビルドのSIEMソリューション、FortifyHQです。
FortifyHQでは、ExtraHopのワイヤ・データ、AWS CloudWatchとCloudTrailのログ・データ、およびサードパーティの認証プラットフォームを使用してリアルタイムの可視性とフォレンジック分析の両方が提供されるため、Accoladeとその顧客は、常に新たな脅威ベクトルの先を行くことができます。FortifyHQの導入により、Sheward氏とそのチームは、これまで利用してきたMSSPおよび商用SIEMとの契約を終了することができました。
不審なイベントに対して精度パケット・キャプチャをトリガし、そのデータをExtraHop Open Data Stream(ODS)を使用してオープンソースのIDSソリューションに送信することで、大幅なカスタマイズなしにリアルタイムの侵入アラートを受け取り、インシデントの調査に必要なデジタル証拠を利用できるようになりました。
成果
すぐに利用可能な脅威インテリジェンスによる、社内セキュリティ・アナリストの対応支援が実現
「なぜAccoladeのものでないIPが管理ページにアクセスしようとしているのか」「顧客はすべて米国内にいるのに、なぜ米国のものでないIPがログインしようとしているのか」。Accoladeは、ソースのドリル・ダウンに必要なデータを使ってこうした疑問に答え、回答を得て、自社の資産を保護できるようになりました。
「ExtraHopのワイヤ・データがあれば、発生したイベントがログ・ファイル・システムに書き込まれるのを待ってから分析する必要はありません。」とSheward氏は述べます。「トラフィックがエンドポイントに届いたときではなく、ネットワークに届いた時点でわかるからです。ExtraHopアプライアンスをファイアウォールの前に配置すれば、何がネットワークに届いていて、何が実際に通過しているかも確認できます。これは驚くほど強力な機能です。今はまだログ・ファイルも使っていますが、非常に限定的です。」
ExtraHopとFortifyHQソリューションを実装するまで、Accoladeのセキュリティ・チームには、自社環境で何が起こっているかに対して限定的な可視性しかありませんでした。カスタムビルドのSIEMにより、すべてのシステムとデバイスにわたる完全な可視性が得られただけでなく、4回クリックするだけであらゆるインシデントを確認できるようになりました。