Challenges
- セキュリティスタック全体にわたる可視性が不足しており、既存ツールではクラウド、ネットワーク、その他インフラ層にまたがる脅威を検出できず、検知カバレッジにギャップが存在していました。
- 世界各地の製造拠点に5,000人以上の従業員が分散しており、本社の集中型C&Sチームは、分散環境全体のセキュリティ管理において大きな調整負荷を抱えていました。
- アラートノイズと誤検知によりアナリストが逼迫し、CriticalおよびHighアラートへの対応に限定されていました。Medium以下のアラートは常態的に見過ごされ、根本的な問題や初期兆候が検知されない状況でした。
- 既存のセキュリティツールはコンテキストおよび修復状況の可視性が不十分でした。悪意あるコードの実行はブロックできても、端末が侵害状態のまま残るケースがあり、修復完了の確認には多大な手動作業が必要でした。
- 脅威対応にはセキュリティ、IT、インフラチーム間の連携が不可欠であり、コミュニケーションのボトルネックがインシデント対応の遅延を招いていました。
- アラート1件あたりの平均調査時間は約3時間であり、グローバル全体での対応遅延とアナリストのボトルネックを引き起こしていました。
- 事業成長に伴うSecOps人員の増強は、持続性およびコスト効率の観点から現実的ではありませんでした。
Solutions
- エクサフォースは、エンドポイント、ファイアウォール、クラウドサービス、CDN全体を横断する包括的な可視性を提供し、検知カバレッジのギャップを解消するとともに、統合された脅威検出を実現します。
- 集中型AI SOCプラットフォームにより、すべてのグローバル拠点の可視性を統合し、調整負荷を解消。中央のセキュリティチームが単一コンソールから5,000人以上の環境を管理可能になりました。
- 自動トリアージにより誤検知を大規模に排除しつつ、すべての重要度レベルで重要な検知結果を適切に引き上げ、ノイズを91%削減。低優先度アラートに埋もれていた本質的なセキュリティ問題の見逃しを防止しました。
- エクサフォースは、見過ごされがちな検知結果を可視化し、修復の完全性を検証。初期ブロック後も侵害状態が継続している端末を特定します。
- ヒューマンインザループ制御を備えた自動対応ワークフローにより、セキュリティ・IT・インフラチーム間の連携を効率化し、封じ込めを迅速化。コミュニケーションのボトルネックを解消しました。
- エクサボットにより、アラート1件あたりの平均対応時間(MTTR)を3時間から10分に短縮。AIによる分析が迅速かつ確度の高い判断を提供します。
- AI主導の自動化により、人員増加に依存せずSOC機能を拡張し、大幅なコスト削減を実現しました。
グローバルネットワーキングリーダーのSOCパフォーマンスを向上
Accton Technologyは、世界中の企業に高性能インフラストラクチャを提供するネットワーキングソリューションの大手プロバイダーです。複数のクラウドおよびSaaSプラットフォームにまたがる高度な環境を運用する中で、セキュリティチームはアラート量の増加と、分散インフラストラクチャを保護する複雑さによる大きなプレッシャーに直面していました。
エクサフォース導入前、AcctonのSOCアナリストは、最終的には無害と判明するアラートの調査に多くの時間を費やしていました。一方で、実際の脅威がノイズに埋もれてしまうリスクもありました。同社はマネージドセキュリティを第三者に委託していましたが、調査にはアラート1件あたり平均3時間を要し、グローバル全体での対応遅延を招くボトルネックとなっていました。また、Acctonはフィッシングの標的になることが多く、セキュリティチームは絶え間なく発生するメールや認証情報窃取に関するノイズを精査する必要もありました。エクサフォースにより、フィッシングの疑いがあるもののうち、実際に対応が必要なものを迅速に特定できるため、真のインシデントがノイズに埋もれて見逃されることを防げます。
エクサフォースのAI SOCプラットフォームの導入により、運用はすぐに変化しました。エクサフォースは、Acctonの既存のセキュリティスタック(PANW NGFW、Microsoft Defender、AWS、Microsoft Entra ID、Cloudflareを含む)と統合することで、これまで断片化されていたテレメトリを明確化する、統合された検出・調査レイヤーを構築しました。プラットフォームのAI主導の自動トリアージ機能は導入初日からアラートのフィルタリングを開始し、検知結果がアナリストに届く前に、自動で検証とコンテキスト付与を行いました。
数週間以内に、セキュリティチームは誤検知と調査時間を大幅に削減できました。以前は手作業による調査に何時間もかかっていたアラートが、自動でトリアージされるようになり、エクサフォースが明確な判断とその根拠を提示しました。誤検知ノイズが91%削減されたことで、アナリストは実在しないインシデントを追うのではなく、実際の脅威に専門知識を集中できるようになりました。さらに重要な点として、エクサフォースはアラート1件あたりの平均調査時間を3時間からわずか10分に短縮しました。AIを活用した分析により、迅速かつ確度の高い判断が提供され、SOC全体の対応が加速しました。
エクサフォースの検出機能は従来のツールを超え、他のシステムが見逃した、または誤分類した検知結果を引き上げました。Microsoft Defenderが悪意のあるアクティビティをブロックしたケースでも、エクサフォースは修復が実際に完了しているかを検証しました。プラットフォームは、初期ブロック後もアクティブなマルウェアに感染したままの端末を特定し、これらのInformationalレベルの検知結果を、より詳細な調査が必要な持続的脅威として可視化しました。これにより、修復が不完全なまま残るリスクを排除し、脅威を一時的に封じ込めるだけでなく、確実に排除できるようになりました。
プラットフォームの機械学習主導の検出アプローチは、従来のツールでは大規模なカスタムルール開発が必要だった疑わしいアクティビティパターンを特定するうえで、特に大きな価値を発揮しました。エクサフォースは、Acctonのクラウドおよびネットワークインフラストラクチャの死角に潜んでいた脅威を可視化しました。同時に、その包括的な可視性は、既存プロバイダーが提供していたエンドポイント中心のカバレッジを大きく上回るものでした。
エクサフォースの探索機能により、Acctonのチームによる脅威ハンティングと調査の進め方は大きく変わりました。Automation Agentsは基本的なタスクと標準的な脅威ハンティングワークフローを担い、Acctonのアナリストがより深い調査や高度な脅威ハンティングに集中できるようにします。クラウドサービス全体にわたる統合された可視性により、アナリストはクラウドリソース間を横断して調査し、ラテラルムーブメントを追跡し、以前は複数の異なるコンソールにアクセスしなければ得られなかったコンテキストに基づいて異常を調査できるようになりました。また、プラットフォームのAutomation Agentsは、ヒューマンインザループ型の自動修復ワークフローを実装することでインシデント対応を改善し、封じ込めを大幅に迅速化しました。
運用面での効果は、アラート削減や調査の迅速化にとどまりませんでした。エクサフォースは、検出、トリアージ、調査、対応の中で最も時間を要する作業を自動化することで、毎月数十時間分のアナリスト工数を削減しました。この時間は、戦略的なセキュリティ施策やプロアクティブな防御に振り向けることができます。アナリストは、詳細な調査を必要とする生のイベントではなく、事前に検証され、十分なコンテキストが付与されたアラートを受け取れるようになったため、対応時間が短縮されました。重要なのは、これらの成果が、従来のアプローチであれば追加採用が必要だったキャパシティを、人員を増やすことなく実現できた点です。
Accton TechnologyのCISO兼CIOであるPaul Kim氏は次のように述べています。「エクサフォースは、AWSとAzureにおける脅威検出と対応をAIで強化することで、当社のSOCの有効性を大幅に向上させました。サードパーティアラートの自動トリアージとルール不要の検出により、対応が効率化され、数十時間を削減できています。その結果、チームは脅威の軽減に集中できるようになりました。また、探索機能により、すべてのクラウドサービスに対する可視性も高まりました。」
エクサフォースのプラットフォームは、セキュリティ運用全体を高度化しました。インテリジェントな検出、自動トリアージ、強力な調査ツール、自動対応ワークフローを組み合わせることで、Acctonのチームは、手作業で実現するには大幅な人員増強が必要だった能力を得ることができました。その結果、アナリストの作業負荷を比例して増やすことなく、同社の拡大するインフラストラクチャに合わせて拡張できる、より迅速で効果的なSOCが実現しました。
