マクニカネットワークスのSOCサービスがEDRの出す大量のアラートを選別 詳細情報の提供により運用負荷を大幅に軽減

【ユースケース】「SOCサービス」
製造業G社

製造業G社では、働き方改革を推進すべく、全社的なテレワーク体制の構築を進めていました。ゼロトラスト環境の実現に向けてPC端末にEDRを導入。検知機能や操作性が優れていたため、G社はEDRの全社展開を決定します。ところが、導入端末の数が増えていくにつれ、アラートの量も増大。自社のリソースでは対応しきれなくなってしまいました。そこでG社は、マクニカネットワークスが提供するSOCサービスを導入。EDRから送られてくる大量のアラートの中から、過剰検知を排除した上で、自社が確認すべきアラートを選別し、詳細な情報を提供してもらうことで、運用負荷を大幅に軽減しました。

EDRの出すアラート量の増大に対応するため、業務のアウトソースを検討

B2C/B2Bの分野で、さまざまな製品を製造・販売しているG社。G社にはおよそ5000人の従業員がいますが、働き方改革を推進するため、数年前からテレワークを導入。範囲を徐々に拡大してきました。その際、EDRを導入したのですが、ゼロトラスト(=すべてのユーザーや端末、接続元を信頼できないとする考え方)の実現に向けて全社に展開することになりました。

しかし、EDRを導入した端末の数が増えるにつれ、そこから送られてくるアラートの量も増大。ただでさえセキュリティ担当者の人手不足が目立っていたG社では、すべてのアラートに対して十分な時間をかけて調査・対処することが難しくなり、アラートの見逃しも発生していました。しかも悪いことに、時を同じくして新型コロナウイルスの感染が拡大。テレワークの導入スピードも緩めることができなくなってしまったのです。

そこでG社では、アラートの対応業務を外部に委託することを考え、検討を開始。複数の候補の中から1社を選んで試験運用を始めたのですが、そのサービスには問題が少なくなかったといいます。
「アラートが発生したことは通知されるのですが、内容は検知時間や検知ホスト名などアラート画面を見れば分かることばかりで、見解が一切書かれておらず、どのような理由でアラートを送ったのか、そのアラートにどのような危険性があるのか、アラートを受けて何をすべきかが全く書かれていませんでした」(G社)

また、この会社はアラートを通知する基準に非公開の独自のロジックを使用しており、EDRが出す重要性の高いアラートを無視することも少なくありませんでした。これでは外部に委託する意味がありません。また、対応に柔軟性がなく、一定以上のリスクスコアのアラートが発生した際には内容に関わらず端末を隔離してしまうので、業務に支障をきたすケースもありました。

柔軟性の無さは、運用におけるルールについても同様でした。G社では情報システム部門やセキュリティ部門など複数の組織を経てインシデント対応のエスカレーションが行われるため、単純に外部SOCサービスからの連絡が「1.5時間」という決まりでは、弊社内の関係部署への連絡は2時間を越えてしまいます。そこで、連絡までの時間を短くしてほしいと頼んだのですが、対応してもらえなかったのです。

高度な知見に基づいた通知、詳しい解説や対応のアドバイスも提供

そこでG社はサービスを選び直し、あらためてマクニカネットワークスのSOCサービスを採用しました。SOCサービスでは、アラート対応はS&Jという会社が担当しています。S&Jは、2020年2月にマクニカネットワークスの関係会社となった企業で、その代表取締役を務める三輪信雄は総務省の最高情報セキュリティアドバイザーであり、経済産業省によるサイバーセキュリティ経営ガイドラインの策定に関わるなど、我が国におけるサイバーセキュリティの第一人者です。

そんなS&Jですので、セキュリティに関する高度な知見や豊富なノウハウを有しています。SOCサービスの提供においても、アラートを通知する際には全てその根拠が示されており、どのような脅威が予測されるのかといった解説や、どのような対応をとるべきかといったアドバイスも追記されています。また、運用ルールも柔軟で、通知時間もG社の規定に合わせてもらうことができました。

なお、導入の際には調整に2~3カ月かかりました。EDRを導入した5,000台のPC端末から送られてくる大量のアラートについて、どのレベルから重要とみなすか規定していく必要があったためです。
「このときはマクニカネットワークスには弊社の運用ルールを聞いていただき、弊社の要件とCrowdStrike製品の1次代理店としての知見を合わせたサービス設計を作成してくれたので、助かりました」(G社)

セキュリティサービス「SOCプラス」1.png

EDRの運用負荷が劇的に減少、サービス自体も自社に最適化

G社がマクニカネットワークスのSOCサービスを導入したことで、EDRの運用負荷は劇的に減少しました。アラートは確認すべきものが選別された状態で、決まった時間内に必要な情報が揃った状態で届くので、担当者は重要度の高いアラートの対応に集中することができます。
「アラートの対応にあたって詳細な情報も提供してくれるのは非常に助かります」(G社)

また、サービスは日を追うごとにG社へ最適化されてきています。アラートにはノイズがなくなり、必要な情報だけが届くようになりました。
「加えて、有事の際にはインシデントレスポンスのサービスが利用できる上、マクニカネットワークスのセキュリティ研究センターもバックアップしてくれるのは心強いですね」(G社)

G社では、SOCサービスの効果の高さを実感したことから、SWG(Secure Web Gateway)の監視サービスの利用も開始しました。EDRとSWGの情報を相関的に調査することで、インシデント発生時により迅速かつ正確な判断が可能になったといいます。
「SWGの監視サービスの追加もマクニカネットワークスにお願いしました。EDRとSWGにフォーカスして監視をお願いすることで、コストに対して効果の高い監視が出来ていると実感しています。マクニカネットワークスは単に代理店として製品を販売するだけでなく、専門の技術者を育成し、高い知見による独自のサポートを提供してくれるからです。特にインシデントが発生した際の支援は心強いです。また、サービスを当社のポリシーや運用に合わせてカスタマイズしてくれるのも評価したいですね。今後ともさまざまな分野からご支援ねがいたいと思っています」

動画の視聴はこちら.jpg
『新型コロナウイルスで変わる働き方、求められるセキュリティ運用体制とは?』
テレワーク化が進み、セキュリティリスクも考慮した運用が必要ですが、テレワーク端末が増加する中で導入済みセキュリティ対策製品のアラートの精査やインシデント発生時の対処の人員を確保し続けることは困難です。そのような状況の中で今まさに必要なセキュリティ運用の実現方法について解説します。

詳細資料のダウンロードはこちら.jpg

▼セミナー案内・ブログ更新情報 配信登録メルマガ登録バナー(セキュリティ).jpg