セキュリティー・インテリジェンス

【事例】IBM QRaderを活用し、脅威の調査と根本原因の特定を3時間から3分に短縮

2020-05-13

記事をシェアする:

Sogeti Luxembourg社、ベネルクスの大規模な保険会社のセキュリティー体制を強化

調査を要するセキュリティー・インシデントの数が増加しています。業務過多にならないようにしながらSOC アナリストが調査できるようにするために、コグニティブ・テクノロジーの活用が不可欠になっています。Sogeti社の SOC アナリストは、IBM QRadar Advisor with Watson を使用することで、情報の分析が 50% 高速化し、導入前の数時間から数日ではなく、数分で脅威に優先順位を付けて対応できるようになりました。

Business challenge

脅威データが急激に増加していたため、セキュリティー担当者は情報過多になり、疲弊していました。Sogeti 社は、アナリストが潜在的な脅威をより迅速に分析できるようにする方法を模索していました。

Transformation

Sogeti 社は IBM Watson のコグニティブ・セキュリティーを使用して IBM QRadar プラットフォームを拡張し、より深い知識を、より短い時間に、そしてより高い精度で脅威を検知し対応できるようになりました。

Results

短縮 3 時間かかっていた脅威の調査と根本原因の判別を 3 分に短縮
強化ベネルクスの大規模な保険会社のセキュリティー態勢を強化
迅速に脅威を特定 翻訳機能を活用し、海外の脅威アクターによる脅威を特定

Business challenge story

サイバー犯罪者の先を行く
Sogeti Luxembourg 社の統括責任者兼サイバー・セキュリティー対策責任者である Vincent Laurens 氏は、セキュリティー・データ・アナリストをサイバーセキュリティー界の次のロック・スターと呼んでいます。これにはもっともな理由があります。

脅威データの劇的な増加により、最も熟練したセキュリティー担当者でさえも、情報過多の海の中で溺れています。脅威フィード、セキュリティー関連のブログ、フォーラム、Web サイト、掲示板に含まれる非構造化データは急速に拡大しており、セキュリティーの専門家がこうしたデータをふるい分けて分析するには時間を要します。

「最も効率的であるためには、悪人たちの 2 歩も 3 歩も先を行く必要があります」と Vincent Laurens 氏は言います。「これは、すべてのデータから数時間ではなく数分で答えを、急ぎ導き出す必要があることを意味します。コグニティブ・コンピューティングは画期的です。IBM Watson によって、当社のアナリストはより速く考え、より正確に判断し、最適な施策を実施できるようになりました」

「IBM QRadar Advisor with Watson は、当社と当社のお客様にとって本当の意味でのブレークスルーでした。Watson を使用することで、当社のアナリストは Watson ソリューションを使用していなかった頃に比べて 50% も速く作業を行うことができるようになりました。Sogeti と IBM の先進的な専門知識と優れたイノベーションを組み合わせることで、当社はお客様のサイバー・セキュリティーの改善と強化を支援しています」
— Sogeti Luxembourg 社統括責任者兼サイバー・セキュリティー対策責任者、Vincent Laurens 氏

Transformation story

コグニティブ・セキュリティーで SOC アナリストをサポート
Sogeti Luxembourg 社と IBM は、持続的な標的型攻撃の検知に役立つセキュリティー・オペレーション・センター (SOC) を企業に提供するため、ルクセンブルグ市場で数年前に提携しました。このIBMとSogetiが共同で運営するSOC では、IBM セキュリティー・サービスのスタッフが Sogeti の担当者と協力して、脅威から組織を守るための支援を行なっています。

「Sogeti と IBM の先進的な専門知識と優れたイノベーションを組み合わせることで、当社はお客様のサイバー・セキュリティーの改善と強化を支援しています」と Vincent Laurens 氏は述べています。

IBM QRadar Security Intelligence Platform は、高度なセンス・アナリティクスを提供するために使われ、SOC アナリストが脅威を迅速に検知し、脆弱性を特定し、リスクに優先順位を付けるのに役立ちます。このプラットフォームでは、顧客あたり 1 秒間に平均 10,000 件のイベント、1 分間に平均 50,000 件のフローを管理しています。大規模な顧客では、このボリュームはさらに大幅に増加します。

「QRadar の差別化要因の 1 つは、ビジネス・コンテキストのユース・ケースを作成できることです」と Vincent Laurens 氏は説明しています。「例えば、当社が協働したある保険会社は、ハッカーが同社の価格設定モデルを変えるために、オンラインの見積もりアプリケーションで見積もり依頼を行なっていることを懸念していました。当社は QRadar を使用して、この種の行為を検知するユース・ケースを容易に構築することができました」

脅威を検知する際のインテリジェンス、スピード、精度をさらに高めるために、Sogeti 社は IBM QRadar Advisor with Watson のベータ・テスト・プログラムに参加しました。

IBM QRadar Advisor with Watson は、QRadar SIEM システムで攻撃とインシデントを調査しながら、Watson for Cyber Security のパワーを活用します。Watson for Cyber Security は、中核となる IBM Watsonテクノロジーを使用して、セキュリティーのトピックと脅威を理解し、推論し、学習します。これにより、SOC アナリストにとっては捉えどころのなかった構造化および非構造化のセキュリティー知識を大量に収集することができ、より迅速に、より確信を持って脅威に対応できるようになりました。

テスト環境でベータ・テストを実施する代わりに、Sogeti 社は大手保険会社の顧客の1 社と協力して、実際の環境でプラットフォームをテストしました。この組織では、顧客にサービスを提供している SOC チームを 2 つのグループに分け、効果を正確に測定しました。1つのグループはコントロールグループとして機能し、もう1つのグループはコグニティブ・セキュリティーの力を享受して、情報をより迅速に結びつけることができるグループにしました。

「攻撃を認識するたびに、2 番目のチームはその攻撃を Watson に送付して、より多くのコンテキストを得ることができました。Watson が提供する結果は、非常に高度なものでした」と Vincent Laurens 氏は述べています。

そのメリットはあまりにも明白で、ベータ・テストに参加していないアナリストが、どうすれば参加できるのかと尋ね始めるほどでした。

コグニティブ・セキュリティーの力は、情報をキュレートして、アナリストに発信するスピードと精度にあります。IBM-Sogeti SOC チームが Watson の知識コーパスにより多くの情報をフィードすればするほど、Watson による分析がより正確になっていきました。

「私たちの経験は素晴らしいものでした」と Vincent Laurens 氏は述べています。「プロセスがとても円滑に進んだことに満足していますし、当社のアナリストたちも、Watson のコーパスのコンテンツに圧倒されていました。初日の段階で、欲しかったものすべてを手にいれることができ、日々進化させることができました」

Results story

分析を 50 % 加速
Vincent Laurens 氏によると、Watson によるコグニティブ・セキュリティーを利用したことは、Sogeti 社と同社のお客様の双方に「ブレークスルー」をもたらし、脅威の検知と対応を劇的に加速するものでした。

コグニティブ・セキュリティー機能を使用した SOC アナリストは、生産性が向上し、誤検知をより正確に特定できるようになりました。これは、SOC アナリストが脅威を識別するためにふるいにかけなければならない「ノイズ」を減らすための重要なステップでした。

「当社は分析プロセスを 50% 加速することができました」と Vincent Laurens 氏は述べています。「アナリストたちは驚いていました。それまでは、回答を得るのに 2 〜3時間かかっていたのが、わずか 2 〜3 分で同じ回答を得ることができるようになったからです」

たとえば、Watson は「ツイン脅威」をかなり速く検知できます。「ツイン脅威」とは、異なる名前、IPアドレス、パターンを使用し、別々の脅威として表示されることが多いものの、実は発生元とターゲットが同一である 2つの脅威です。さらに、Watson の外国語コーパスによって、海外のハッカーによる脅威の検知も可能になりました。

また、Watson を使用することで、絶えず変化する脅威の状況に SOC アナリストが対応する際も役立っています。

「この分野において、当社は常に学んでいます」と Vincent Laurens 氏は述べています。「非常に多くの情報を、アナリストが簡単に使用できるようにすることで、アナリストは知識ベースを増やし、より迅速な反応を示せるようになっています。これは、重要なメリットの 1 つです」

Sogeti 社にとって、これは始まりにすぎません。「こうしている間にも、コグニティブ・テクノロジーはサイバー・セキュリティーの分野を変革しています」と Vincent Laurens 氏は述べています。「今後 10 年間に目にするものは、さらに革新的なものになるでしょう。IBM QRadar Advisor with Watson は、当社と当社のお客様にとって本当の意味でのブレークスルーでした」

About Sogeti Luxembourg

Capgemini グループの子会社である Sogeti Luxembourg 社は、ルクセンブルグにおけるテクノロジーとソフトウェア・テスト分野のリーディング・プロバイダーです。テスト、ビジネス・インテリジェンスとアナリティクス、モバイル、クラウド、サイバー・セキュリティーに関する最先端のソリューションを提供しています。