SOCの効率を50%向上
Proficioは、Elasticセキュリティを使用することでデータアナリストの生産性を高め、SOCの効率を50%向上。
脅威の検知時間を75%短縮
以前のProficioの目標は、重大な脅威を1時間以内に検知することだった。Elasticを使用するようになった現在、平均検知時間は15分未満、平均対応時間は4分未満に。
ビジネス成長率60%を達成
Proficioは、Elasticを活用してセキュリティインフラを即座にスケールアップすることで、急増する顧客の需要に対応。
マネージドセキュリティサービスプロバイダーが機械学習と自動化を活用して最先端のサイバーセキュリティを提供し、効率の向上と顧客への優れた価値提供を実現
2010年に設立されたProficioは、受賞歴のあるマネージドセキュリティサービスプロバイダー(MSSP)です。24時間365日のセキュリティ監視やマネージド検知/対応(MDR)機能を世界中の顧客に提供しています。また、医療、金融、小売などさまざまな業界の多数の組織を保護する、高度なサイバーセキュリティサービスでも知られています。
Proficioのセキュリティエキスパートチームは、サンディエゴ、シンガポール、バルセロナにあるセキュリティオペレーションセンター(SOC)で活動し、セキュリティイベントを監視し、標的型攻撃を追跡しています。この24時間体制のオペレーションにより、Proficioとその顧客は、クラウドインフラやリモートワーク用ネットワークの脆弱性を狙うサイバー犯罪者に先んじて対策を講じることができています。
絶え間なく続くサイバー脅威との戦い
ProficioのCEO兼共同創設者のブラッド・タイラー氏は、同社の使命を次のように説明します。「今日、サイバー犯罪者との戦いは絶え間なく続いており、当社は毎回勝利を収めなければなりません。お客様の業務を妨害する侵入や侵害が発生する前に、お客様に対するすべての攻撃を検知する必要があります」
タイラー氏とProficioのチームは、検知と対応の時間をできるだけ短縮し、バックグラウンドプロセスの自動化を進めたいと考えていました。また、攻撃者が使用する最新の手法や技術に対応するために必要な、多数のセキュリティユースケースやデータを可視化するダッシュボードをより効率的に作成する方法も探していました。
「当社のこれまでのSIEMソリューションでは、さまざまなベンダーごとに異なるユースケースを作ることは困難でした。また、お客様やSOC環境のすべてにわたってデータを探す際に必要な、高度な検索機能もありませんでした」とタイラー氏は述べます。
Proficioのチームの中には、Elasticセキュリティを活用して、既存のSIEM環境よりも高度なコンテンツ機能や分析機能を試しているチームがありました。「Elasticの活用は自然に広がっていきました。フィードバックが非常に肯定的だったため、Elasticと提携してビジネス全体に展開することにしました」とタイラー氏は説明します。
Proficioには現在、マネージド検知/対応サービスについて2つの提供モデルがあります。1つ目は、クラウドネイティブなプラットフォームとしてのElasticセキュリティです。Proficioがホストし、SOARやProficioのSOCと組み合わされています。タイラー氏は次のように説明します。「お客様は当社のシステムに接続するだけです。当社がサービスに必要な技術、人員、プロセスのすべてを提供します」
Proficioは2つ目のモデルを「Bring your own SIEM(自社のSIEMを活用)」と呼んでいます。顧客がElasticセキュリティをすでに使用している場合、Proficioは環境の管理やコンテンツの追加を支援します。ProficioのSOCからのサポートを受けることもできます。
脅威に対する可視性を高める
Elasticセキュリティを活用することでProficioがパフォーマンスを向上させている主な領域は、脅威に対する可視性です。タイラー氏は言います。「Elasticを活用することで、ほぼどこからでもデータを取り込めます。API、Beats、エージェント、エンドポイントといったあらゆる場所からです。セキュリティデバイスがどこにあるかは問題ではありません。また、ビジネスコンテキスト、脆弱性データ、脅威インテリジェンスデータを考慮することで、最高セキュリティ責任者はあらゆる脅威を可視化して速やかに検知できます」
可視性はさまざまなソースのデータを調査する能力にも依存します。Elasticを活用することで、Proficioは複数のログソースを使用して多くの疑わしい指標に対する多変数の脅威検知やルールを作成できます。そして、ログソースのタイプに応じたユースケースを作成して、すべてのベンダーに速やかに適用できます。
Elasticセキュリティは他のSIEMに比べて非常に優れています。多くのお客様に向けて、特定カテゴリのさまざまなベンダーデバイスに応じたコンテンツを作成しなければならない場合に役立ちます。
Elasticセキュリティを使用すると、脅威の解決に役立つ大量の履歴データへのアクセスも効率化できるようになります。Elasticでは、1時間以内にオンライン化できる検索可能なコールドストレージ(Amazon S3ストレージバケット)にデータを格納できます。「時には、9か月分のログにアクセスする必要が生じることがあります。Elasticは、膨大な量のデータに対する速やかなアクセスを可能にするゲームチェンジャーです」とタイラー氏は述べます。
検索機能も向上されています。大量の広範なデータセットを調べて、単一の検索フィールドからすぐに結果を得られるようになりました。たとえば、Proficioがある顧客の脆弱性や侵害を検知した場合、他の組織の似たような指標を検索し、必要に応じて対処することができます。
Elasticを使えば、多くのさまざまなお客様をすばやく検索して調べられます。これは、本当にすばらしいことです。
さらに、ProficioはKibanaのカスタムダッシュボードを作成して、トレンド分析やKPIなどの他のメトリックを表示しています。「多くのさまざまなお客様からデータを収集しているので、同業他社と比較したデータを最高セキュリティ責任者に示すことができます。Elasticを活用すると、セキュリティ管理の全体像がとてもわかりやすくなります」とテイラー氏は述べています。
機械学習を活用してサイバー脅威を阻止する
Proficioでは、脅威に対する可視性をさらに高めるために、Elasticの機械学習機能の活用を始めました。Elasticには、既存の静的な相関付けルールを補う100を超える機械学習モデルが用意されています。
Elasticの機械学習を活用することで、高度な標的型攻撃を検知するための新たな力を獲得できました。自動化された異常検知と迅速かつ広範な検索を組み合わせることで、これまでになかった可視性が実現されています。
また、Elasticは、ServiceNowの構造化された応答エンジンを介してProficioの他のITSM(ITサービス管理)プラットフォームとも統合されています。
Elasticは他のITSMプラットフォームと双方向で統合できます。脅威が検知されたら、オーケストレーションを実行でき、お客様側でも対応ができるようになります。
脅威の検知を加速させる
サイバー攻撃から企業を守るための競争で優位に立つために、Proficioは約40のフィードを持つ独自の脅威検出プラットフォームをElasticと組み合わせています。「脅威の特性や深刻度を指定するのに役立ちます。この情報を基に対応アクションを判断して優先順位を決定しています」とテイラー氏は説明します。
この結果、同社はサービスを提供するペースや効率を飛躍的に向上させています。以前のSIEMソリューションでは、重大な脅威を1時間以内に検知することを目標としていました。Elasticでは、この時間は15分未満に短縮され、平均対応時間は4分を切っています。
Elasticセキュリティのおかげで、平均検知時間を75%短縮できました。自動アラートの他にも、Elastic内で運用モデルを構築できるようになったことで、脅威がアクティブかどうかをすぐに判断できるようになりました。
同時に、Proficioではデータアナリストの生産性が向上し、SOCの全体的な効率も50%向上しています。また、Elasticセキュリティですべてのリモート接続やエージェントを一元管理することも可能になり、さらなる効率化とコスト削減が実現されています。
Elasticに移行したことで両面のメリットを享受できています。効率が向上してキャッシュフローに良い影響がもたらされただけでなく、業務に最適なツールが提供されたことで従業員にも良い刺激になっています。
Proficioのビジネスが成長する中で、Elasticコンサルティングチームは重要な役割を果たしています。「サポートが必要なときはいつでも、必要なElasticエキスパートからすぐに連絡をもらえます。いつも迅速かつ積極的に対応していただいています。すばらしいパートナーです」とタイラー氏は言います。
将来的に、タイラー氏とそのチームは、既存の運用/セキュリティワークフローに加えて、インシデントの修正を加速させる最新のElastic SOARツールをデプロイすることを考えています。アナリストがカスタマイズ可能なオーケストレーション機能をElasticセキュリティ内で利用したり、他の優れたSOARプロバイダーとワンクリックで統合したりできるようになります。