チャレンジ
- Forcepointは、運用管理と責任範囲を明確化するため、マネージドセキュリティ運用を単一のAI活用型パートナーに統合することを目指していました。
- オンプレミス、IaaS、SaaSにまたがる複雑なハイブリッド環境では大量のアラートが発生するため、最新の脅威に対応するには、拡張性の高いAI主導のアプローチが必要でした。
- 業界全体で見ても、数千件に及ぶアラートの中には多数の誤検知が含まれており、重要なシグナルがノイズに埋もれてしまう可能性があるため、大規模なインテリジェントトリアージが求められていました。
- 既存のセキュリティ投資の価値を最大化するには、セキュリティスタック全体のシグナルを統合できるオーケストレーションレイヤーが必要でした。
- Forcepointは、チームがセキュリティテレメトリへ直接かつリアルタイムにアクセスできる統合型のAIネイティブプラットフォームを活用し、SIEM運用の刷新を目指していました。
ソリューション
- エクサフォースのAIとMDR専門家は現在、Forcepointのマネージドセキュリティパートナーとして、専門家主導による24時間365日体制の迅速なカバレッジを提供しています。
- エクサフォースは、チームの対応範囲を拡張し、運用効率を最大限に高めながら、エンタープライズ規模の検知、トリアージ、調査、対応能力を提供しています。
- エクサボットによる自動トリアージにより、アラートの95%が誤検知として確認・フィルタリングされ、アナリストのレビュー対象となる、信頼性の高い真の検出結果のみが抽出されました。
- Forcepointの既存ツールセット全体との迅速なインテグレーションにより、初日から包括的なカバレッジを実現し、すべてのアラートカテゴリを監視し、対応できる体制を確保しました。
- SIEM運用をエクサフォースの統合運用基盤へ集約することで、チームはオンプレミス環境とクラウド環境全体を対象とした統合検知・調査基盤へ直接アクセスできるようになりました。
MSSPへの不満からフルライフサイクルMDRへ
Forcepointは、グローバルなAIデータセキュリティリーダーとして、世界中のエンタープライズ環境において、クラウド、Web、ネットワーク、メール、エンドポイント、AIにわたる重要データを保護するソリューションを提供しています。同社のセキュリティ運用環境にもその複雑さが反映されており、大規模なオンプレミス環境に加え、AWS、Azure、複数のSaaSアプリケーションにまたがる広範なクラウドスタックを抱えています。
Forcepointは、こうした高度な環境に対応するため、セキュリティ運用モデルの刷新に着手しました。チームは、AIネイティブな自動化と専門家主導のMDRを組み合わせ、複雑なグローバル企業に求められる対応力と深い調査能力を提供できるパートナーを求めていました。
業界全体で、誤検知の多さは現代のSOC運用における代表的な課題の一つです。アナリストの注意を実際の脅威からそらし、組織が既存のセキュリティ投資から引き出せる価値を制限してしまいます。Forcepointは、この2つの課題を同時に解決できるパートナーを求めていました。
エクサフォースは、運用状況を即座に変えました。PoC(概念実証)の期間だけでも、エクサフォースはForcepointのセキュリティツール全体にわたり、複数の新機能と、AIおよび専門家主導のカバレッジを提供しました。チームは、複数のソースにまたがるアイデンティティを関連付け、生のイベントノイズではなく、高精度でコンテキストに基づくアラートを提供する、エクサフォースのアイデンティティスティッチング機能に魅力を感じました。EDRルックアップと脅威インテリジェンスによるエンリッチメントにより、アナリストは真の検出結果に対して的確に対応するために必要なコンテキストを得られました。
「手厚いサポートが必要だったMSSPから、これまで対応できなかった調査まで担えるMDRへと移行できました。デザインパートナーとして、プラットフォームが急速に進化していく様子も目の当たりにしてきましたし、対応品質の違いは歴然です」と、ForcepointのCISOであるGuy Shamilov氏は述べています。
エクサボットは、大量のアラートをフィルタリングする作業を担いました。アラートの95%が自動的にトリアージされ、検証済みの誤検知として除外されたことで、SOCチームは、実際のリスクを示すごく一部のアラートに集中できるようになりました。この変化により、チームの運用は根本的に変わり、ノイズに対する受動的なトリアージから、検証済みの脅威に対する能動的な調査へと移行しました。
かつては対応完了までに何時間もかかっていた最優先の検出結果であるP0インシデントも、現在では14分で解決されるようになりました。この高速化は、インシデントを封じ込められるか、拡大を許してしまうかを左右する運用上の大きな違いを意味します。規制対応上のリスクを抱え、グローバルな顧客基盤を持つセキュリティ企業にとって、エクサフォースのスピードと精度は、Forcepointが顧客から期待されているセキュリティ態勢を直接的に強化します。
Forcepointはまた、Automation Agentsを活用して、SOCワークフローをエンドツーエンドでオーケストレーションおよび自動化しています。アドホックな調査から対応アクションまで、プラットフォームの自動化機能が、これまでアナリストの時間を費やしていた反復的な運用作業を処理します。これにより、セキュリティチームは、環境全体で一貫性のある拡張可能な対応を維持しながら、より価値の高い調査に集中できます。
エクサフォースの導入は、ForcepointのSIEMリプレースの取り組みにも対応しました。以前のツールでは取り扱いにばらつきがあったオンプレミスソースを含め、ハイブリッド環境全体からテレメトリを取り込むことで、エクサフォースは、長期にわたるSIEM移行を必要とせずに、チームに統合データレイヤーを提供しました。Forcepoint固有のソース、クラウドインフラストラクチャ、アイデンティティ、エンドポイントデータを単一のコンソールで関連付けられるプラットフォームの機能により、従来のモデルで調査を遅らせていたコンテキストの切り替えや手動での相関分析が不要になりました。
「どのセキュリティチームにも、できることには限界があります」とGuy Shamilov氏は述べています。「これほど複雑な環境を実際に把握し続けられるのは、エクサフォースがあるからです。現在では完全な可視性を確保でき、すべてのアラートがトリアージされ、以前は何時間もかかっていた調査も数分で完了します。」
エクサフォースにより、Forcepointのセキュリティチームは、現代の脅威環境が求める規模とスピードで運用できるようになりました。AI主導の自動化が大量の作業を吸収し、専門のMDRアナリストが確認済みの脅威に対応します。そして社内チームは、自社の運用に合わせた形で、環境全体で何が起きているかを完全に可視化できます。
