アナリストの作業時間を月あたり100時間削減
Texas A&M University Systemでは、Elasticセキュリティを利用してドキュメントなどのセキュリティプロセスを自動化することで、アナリストの作業時間を月あたり100時間以上削減しています。
インシデントの解決にかかる時間を99%短縮
Elasticセキュリティの導入により、Texas A&M University Systemは同種インシデントの解決にかかる時間を数か月からわずか2時間へと99%短縮しました。
追加のセキュリティ機能の迅速な統合が可能
Texas A&M University Systemは、Elasticセキュリティの導入で、定期的なリリースと頻繁な機能更新を行うSIEMベンダーを1社に絞ることができました。
Texas A&M University Systemは、Elasticセキュリティを導入し、他国が動員するハッカーやサイバー犯罪者から学生、緊急時対応要員、主要研究機関を保護しています。
世界中で毎日何千ものサイバー攻撃が発生する中、ITシステムを保護するのは大変なことです。何十ものパートナーと何万ものエンドポイントを抱え、毎月何十億もの遠隔測定イベントが発生する公的機関であれば、さらに困難です。これこそが、全米2位の学生数を誇る公立研究機関であるTexas A&M University Systemのサイバーセキュリティ業務チームが直面している課題です。
サイバーセキュリティチームはA&M Systemを構成する11の大学を保護するだけでなく、8つの州政府機関を守らなければなりません。この州政府機関には、テキサス州緊急事態管理局やテキサスA&M森林局なども含まれます。A&M Systemは世界有数の工学技術革新センターを複数カバーしているため、研究部門もA&M Systemのサイバー防御に依存しています。
Texas A&M University System事務局のセキュリティアナリスト、ブラクストン・ウィリアムズ氏は次のように述べています。「私たちの使命は、全メンバーのデータを保護し、緊急時対応サービスの可用性を高い次元で維持し、すべての関係者と連邦政府パートナーに対して研究成果を確実に提供することです。」
A&M Systemは、限られた予算でこのすべてを成し遂げなければなりません。また、国際的な研究ネットワークの中心に位置しているため、国家レベルのスパイ行為やハッカーの矢面にも立っています。「何千人もの学生やユーザーがそれぞれにデバイスを持っています。業務を中断させたり、金銭をゆすったりするランサムウェアやフィッシングにとって格好の攻撃対象となります」とウィリアムズ氏。
セキュリティアナリストは、A&M Systemの防衛において非常に重要な役割を担っています。以前は、異なるクエリ言語に基づく複数のセキュリティ製品からデータを取得する必要があったため、そのスキルを十分に発揮することができませんでした。情報収集と同僚との共有を繰り返す長時間労働により、チームへのプレッシャーはさらに高まりました。
A&M Systemは、このような問題に対処するエンドポイント検知と対応(EDR)ソリューションを追求する中で、Elastic Security for Endpointを選択しました。「複数のセキュリティ製品やポータルを使用するのではなく、セキュリティアナリスト全員が1つのインターフェースを使用できるようになりました。これで、セキュリティインシデントを調査して修復するために必要なツールが全部手に入りました」とウィリアムズ氏は言います。
サイバーセキュリティチームは現在、大学、機関、緊急時対応チーム、研究機関にあるすべてのデバイスにElasticセキュリティを自動的に導入しています。「チームは、デバイスの遠隔測定データ、フィッシングデータ、脅威となるインテリジェンスデータなど、25,000台のエンドポイントから30日分のデータを収集しています。Elasticの場合、単一のスキーマと共通の言語を使ってクエリを実行するだけです。」
「Elastic Security for Endpointを選んだ理由は、悪い予兆を警告してくれるだけでなく、それに迅速に対処できるよう手助けしてくれるからです。」
時間を節約し、燃え尽き症候群を回避
Elasticセキュリティは、セキュリティワークフロー中に作成されるドキュメントの量を大幅に削減し、重複検出や誤検出を減らします。「ドキュメント作成プロセスに自動化レイヤーを追加することで、アナリストの作業時間を月あたり100時間程度削減できました。結果を出すことに集中できるので、士気も大いに高まります」とウィリアムズ氏は言います。
この点を説明するために、ウィリアムズ氏は、Elasticセキュリティ導入の前後に同じハッカーが試みた、ほぼ同様の2つの攻撃を比較しています。最初の攻撃は、大学の内部リレーを使ったフィッシングメールの送信に成功しています。数か月後に攻撃が検知されましたが、侵害されたコンピューターを調査し、攻撃を軽減するためにはさらに2週間を要しました。
Elasticセキュリティが導入された2年後に同じハッカーが同様の攻撃を試みました。「私たちはこれを完全にシャットダウンし、2、3時間で解決しました。これは、以前の対応時間と比べて11,000%の高速化に相当します」とウィリアムズ氏。「Elasticセキュリティソリューションのエンドポイント機能とSIEM機能を組み合わせることで、インテリジェンス主導の単一ソリューションが実現し、セキュリティ運用がさらに効率化されたのです。」
A&M SystemはElasticのサポートチームの専門知識によってSIEMを急速に拡張することができました。ウィリアムズ氏はその点も大いに称賛しています。「Elasticのエンジニアと話すときは、いつも互いにわかり合えている気がします。つまり、時間を要するエスカレーションプロセスではなく、その場の短い会話で物事を解決できるということです。」
政府機関の一部としてとりわけ適切な予算管理を求められる大学においては、価格設定も重要な要素となります。A&M Systemは、エンドポイントごとの課金ではなく、リソースの容量に対して料金を支払っています。「今後2、3年のうちに、エンドポイントの数は85,000まで増える可能性があります」とウィリアムズ氏。「Elasticの一貫性と透明性を備えた価格設定フレームワークのおかげで、確実性の高い計画を立てることができます。」
現在、ウィリアムズ氏はElasticのAIと機械学習技術の新たな波に着目しています。これには、シグネチャがなくても新たな攻撃や未知の攻撃を検出できる可能性のある異常ベースの検知も含まれます。革新的な機能やリリースを追加していくことも、A&M Systemの継続的な防衛に対する自信につながります。「Elasticは、既成概念にとらわれない検知や、新たなサイバーセキュリティの脅威に対応した新機能の追加など、常に研究と導入の最前線にいます」と同氏は言います。
何よりも、A&M Systemサイバーセキュリティ業務チームは、Elasticセキュリティを使用することで多数の脅威から資産を守れるようになっています。「A&M Systemの施設や機関は、民間や連邦政府のスポンサーから多額の助成金を受けています。Elasticは、これらの著名な組織とのパートナーシップを実現し、研究をサポートするために必要なレベルのセキュリティを提供してくれています。」