• ケーススタディ

MSSP が柔軟性と拡張性を求めて Swimlane を選択

Swimlane が大手 MSSP をどのようにサポートしているかについて詳しくご覧ください。.

デモのリクエスト

ケーススタディ

背景

世界中の数百もの顧客に対して継続的な監視と対応を実行することは容易ではありません。北米、ヨーロッパ、アジアに複数の24時間365日体制のセキュリティオペレーションセンター(SOC)を擁する大手マネージドセキュリティサービスプロバイダー(MSSP)は、限られたアナリストの人員で顧客数の増加に対応するという共通の課題に直面していました。顧客数の増加に伴い、セキュリティソリューションも増加し、アラート数も増加の一途を辿っていました。そこで同社は、オーケストレーションと自動化によってセキュリティチームの生産性を向上させ、スタッフがアラートを常に把握し、顧客の安全を確保できるようにしたいと考えていました。.

これは、Swimlaneプラットフォームの導入によって実現しました。Swimlaneの先進的なセキュリティオーケストレーション、自動化、レスポンス(SOAR)ソリューションは、このMSSPが新規顧客を獲得するたびに人員を増やすことなく、ビジネスの拡大と成長を実現するのに役立ちます。.

主な基準

ニーズ

このMSSPは、最高クラスのスタンドアロンのオーケストレーションおよびレスポンスプラットフォームを求めていました。Swimlaneを選択する前は、社内のインシデント対応ツールを使用していましたが、必要な自動化機能と柔軟性がありませんでした。Swimlaneの主な要件は、 SOARソリューション だった:

  • 大規模かつ増加する顧客数をサポートできる高い拡張性
  • 現在および将来のさまざまなユースケースに対応できる柔軟性
  • 既存のシステム、特に分析エンジンとAPI経由で統合する必要がある

このMSSPの目標は、数百の顧客を網羅する単一のオーケストレーションプラットフォームを構築し、すべての受信アラートを一元管理することでした。アナリストは複数の顧客を担当するため、顧客ベースではなく、アラートの種類や重大度に基づいてアラートを自動的に割り当てる機能も必要でした。単一のグローバルインスタンスがなければ、アナリストはそれぞれの環境にログインする必要があり、拡張性が損なわれます。Swimlaneの導入により、このMSSPはすべてのアラートを集約し、ワークフローを自動的に実行し、必要に応じてケースをアナリストに自動的に割り当て、引き継ぐことができるようになりました。.

Swimlane を使用すると、次のようないくつかの利点があります。

  • ほとんどのアラートは解決に人間の介入を必要としないため、スタッフの時間を節約してより価値の高い活動に充てることができます。.
  • アナリストに特定の顧客を割り当てる必要がないため、スタッフの活用度が向上します。.
  • アナリストは特定の種類のアラートや調査に特化できるため、効率とスタッフの満足度が向上します。.

MSSPは急速に成長していたため、SOARプラットフォームの柔軟性の重要性は計り知れません。SOARソリューションには、現在は必要なくても将来必要になる可能性のある機能が必要でした。Swimlaneはアナリストやアナリストグループを動的に割り当てることができるため、SOCがダウンした場合でも、成長中のSOCの管理がはるかに容易かつ便利になります。例えば、アナリストをグループに自動的に割り当て、そのグループを顧客に割り当てる機能が特に高く評価されました。.

ユースケースは多岐にわたり、MSSPは主にエンドポイント検知・対応(EDR)とクラウドワークフロー保護を中心としたいくつかの主要なユースケースをテストしました。しかし、これはあくまでも機能を証明するためのものでした。「オーケストレーションプラットフォームの真髄は、柔軟性があり、理想的にはあらゆるユースケースに対応できることです」と、MSSPのセキュリティ製品担当ディレクターは述べています。Swimlaneは、MSSPや大企業の顧客の間で、一般的なユースケースを超えた機能で知られています。 SOARのユースケース, 自動攻撃テストから内部脅威、アナリストのオンボーディング/オフボーディングなど、あらゆるニーズに対応します。Swimlaneの幅広いオーケストレーションと自動化機能により、ユースケースは事実上無限です。.

強力なAPI統合機能は、3つ目の重要な要件でした。「ほとんどのSOARプラットフォームではAPIを使用できますが、アラートをオーケストレーションツールに直接取り込む必要があります」と、セキュリティ製品担当ディレクターは説明しました。Swimlaneを導入することで、このMSSPはより柔軟な対応が可能になります。Swimlane APIは、Carbon Black EDRソリューションから分析ツールにアラートを送信し、それをSwimlaneに転送するなど、顧客の主要なワークフロー要件に対応できるためです。SwimlaneのAPIは、「セキュリティオーケストレーションプラットフォームからデータを引き出し、当社の顧客ポータルに状況をスナップショットで示す」ことも容易にします。Swimlaneは、数百のサードパーティツールと数千の統合をサポートしています。MSSPにはAPI統合を自ら作成・維持するための余裕がないため、この機能は非常に重要です。.

解決

代替案はどうでしょうか?

このMSSPは6つのベンダーを評価しました。そのうち半分はセキュリティ重視のソリューション、残りの半分はITオーケストレーションおよび自動化ソリューションでした。ITオーケストレーションおよび自動化ソリューションはMSSPのニーズへの対応において限定的な成果しかあげられませんでしたが、Swimlaneを含む2つの主要SOARベンダーが社内テストに合格し、Swimlaneがトップの評価を獲得しました。.

セキュリティ製品ディレクターによると、Swimlane が最良の選択肢として際立った理由として、次のようなことが挙げられます。

  • “「APIはどこにでもありました。」Swimlaneプラットフォームは完全にAPI対応しており、徹底的なドキュメント化が図られています。このお客様は以前、ベンダーからAPIは提供されているものの期待通りに動作しないという苦情を受け、散々な目に遭いました。SwimlaneのAPIが期待通りに動作することが重要な決定基準となり、プラットフォームへのデータの出し入れが容易になりました。.
  • Swimlaneプラットフォームは、彼らが必要としていた拡張性と柔軟性を実証しました。その大きな要因は、SwimlaneのCEOをはじめとするスタッフがSOCで勤務経験があり、SOCの運用と機能に精通していたことです。他のSOARベンダーにはセキュリティチームはありましたが、セキュリティ運用の専門家ではなく、「それが露呈してしまった」とのことです。“
  • Swimlaneのきめ細かなロールベースアクセス制御(RBAC)は、このお客様にとって非常に重要でした。堅牢なRBACにより、グローバルなアナリストプールに必要な機能や顧客へのアクセスのみを許可できるため、セキュリティリスクが軽減されます。.
  • 洗練された柔軟なダッシュボードにより、簡単に生成でき、一目で理解できるメトリックとレポートを作成できます。.
  • 高可用性/災害復旧アーキテクチャにより、ダウンタイムに関する懸念が軽減されます。.
  • スイムレーンは独立した SOARプラットフォーム, 単一ベンダーのエコシステムへの偏りや集中に関する懸念を軽減します。

投資収益率

MSSPにとって、新しいツールを追加する際には、プラスの投資収益率(ROI)を達成することが不可欠です。このお客様は、SOARソリューションとしてSwimlaneを追加することで、効率性と有効性の向上を実現し、必要なROIを実現しました。「アナリスト企業のForresterは正しいことを言っています」と、セキュリティ製品担当ディレクターは述べています。「(SOARの)目的は、より多くの誤った意思決定をより迅速に行うことではなく、適切な意思決定を行うことです。単純な作業を自動化することで、アナリストはより複雑な作業に集中できるようになります。」“

ビデオ

CyberRisk TVインタビュー:MSSPにとってのAI、自動化、ローコードの価値

続きを読む
ブログ

マネージド セキュリティ サービス プロバイダー (MSSP) 向けの自動化されたセキュリティ運用

続きを読む
ブログ

サイバーセキュリティ人材不足 | SAOでMSSPの効率を最大化

続きを読む

スイムレーンタービンを探索する

世界で最も優れたセキュリティ自動化プラットフォーム

タービンを探索する
抽象的な青のグラデーション背景: 最新の SaaS およびクラウドネイティブ インターフェースの概念的な幾何学的画像。.