ホーム お客様事例 Mohawk College Mohawk College
複雑な高等教育環境におけるサイバー攻撃を検出します。
階段に座って、ノートPCで作業する人の画像

サイバー攻撃が最強のITセキュリティー・システムさえ侵害してくる場合、侵入を管理・回復するためには迅速な検出が不可欠です。Mohawk大学は、IBMビジネス・パートナーのGlassHouse Systems社と協力して、IBM Security® QRadar® セキュリティー情報イベント管理(SIEM)ソリューションを実装し、侵害を迅速に検出してインシデント対応に優先度付けを行いました。
ビジネス上の課題

Mohawk大学は業界最高レベルのSIEMソリューションを実装して、複雑なIT環境を保護している堅固なシステムを侵害するかもしれない、増大する脅威に対する防御を管理したいと考えていました。
概要と経緯の詳細

同大学はGlassHouse社と協力してQRadar SIEMプラットフォームを実装し、サイバーセキュリティー侵害を検出・調査し、それに対応するための環境の可視化を実現しました。
結果 可視性を提供
オンプレミス環境とクラウド環境全体の脅威を可視化します
脅威検知の迅速化
最も重要な脅威に対処するための優先度付けされた洞察で、脅威検知を加速します。
シームレスに統合
大学のさまざまな学部やキャンパスで使用される複数のシステムを統合します。
ビジネス上の課題の詳細
サイバー犯罪者のターゲットは大学のITシステム

高等教育機関は、サイバー犯罪者にとって最も豊かで絶好の標的の1つです。彼らの標的は、知的財産権、研究、そして学生と教員両方の個人情報です。また、一般的にサイバーセキュリティー対策とテクノロジーは、大学またはカレッジの複数の学部にまたがる体系的な予防や対応を考慮せずに、断片的に実装されることが多いため、上記のような情報は悪意のある人物によって簡単に標的となります。

「非常に多様な学部がさまざまなことを行っているため、保護対策は困難を極めています」と、オンタリオ州ハミルトンにあるMohawk大学のITセキュリティー・サービス・マネージャーであるAndrew Frank氏は言い切ります。「通常、よく練られたセキュリティー・プログラムがない場合、テクニカル担当者は環境を保護するためにあらゆることを行います。ですがすぐに手段が尽きてマルウェア対策ソフトを購入するか、新しい凝った次世代ファイアウォールをインストールすることになります。これらの修正対策は非常に重要ですが、Mohawk大学のような組織におけるサイバー攻撃との戦いの一部にすぎません。」

Mohawk大学がサイバーセキュリティーに包括的なアプローチを取っているのは当然のことです。大学は応用研究に重点を置いており、複数の研究分野で、学生がハミルトンとグレーター・トロント・エリアの企業での実地経験を積むことができます。同大学は、LEED認定のグリーン・ビルディングや冷暖房システムなど、独自の運営におけるイノベーションで知られています。

Mohawk大学ではサイバーセキュリティーも教えており、教育機関のサイバーセキュリティーを監督する広範な中央IT部門を有しています。数年前に、大学を悪意のある攻撃者から保護および防御するためには、最先端のサイバーセキュリティー・ツールを使用する必要があることが明らかになりました。

Frank氏は、大学のサイバーセキュリティー環境がどのように進化したかを思い返して、「取締役会では、当校の重要な資産を保護するためのプログラムをどのように構築できるかについて質問が飛び交い始めていました」と言います。中央IT部門は、情報セキュリティーを管理するためのISO 27001標準やISO 27002標準など、セキュリティーに関するさまざまな業界フレームワークを検討することから始めました。次に、米国国立標準技術研究所のサイバーセキュリティー・フレームワーク(NIST CSF)を使用してギャップ分析を実施し、5つの柱(特定、保護、検出、対応、復旧)全体でスコアを付けました。

大学は、保護する必要のある資産を特定し、それらの資産を一般的に保護することにおいては、うまくいっていることを知っていました。ただし、検出のスコアはそれほど高くなかったため、制御に失敗した場合、侵害を迅速に特定して、侵害への対応と復旧に進むことができませんでした。「すべての投資を保護対策に投入したとしても、特効薬があるわけではありません」とFrank氏は主張します。「最終的には、システムを危険にさらす可能性が高くなり、状況は複雑になります。」

Mohawk大学は、検出に集中して投資することにしました。「誰かが私たちの保護を突破した場合、迅速に検出してネットワークから根絶できるようにしたかったのです」とFrank氏は言います。高等教育機関では、攻撃者がシステムに侵入したことに気付くまでに数カ月かかる場合があります。「システムが侵害された場合にそのようなことが起こってほしくありませんでした」と彼は言います。

「私たちにとって迅速な検出は重要でしたが、事後に何が起こるかも重要でした」とFrank氏は言います。「侵入を再現して、何が起こったのか、どのシステムが影響を受けたのかを正確に特定し、事後にシステムを再構築して、侵害後のネットワークを再度保護したいのです。」

Mohawk大学は、業界最高レベルの検出プラットフォームを探し始めました。当時、同校はすでにIBMと協力して、QRadarソリューションなどのSIEMツールを含むサイバーセキュリティー・カリキュラムを構築していました。この相乗作用を念頭に置いて、Frank氏と彼の同僚は大学のためのSIEMソリューションを模索し始めました。

Frank氏は、大学の基準について次のように概説しています。「私たちが求めていたツールの条件は、使いやすいことと、ユーザーがそれほどトレーニングを受けなくても多面的観点からデータをくまなく検索し、イベント・ログを見てネットワーク・トラフィック分析を実行できるようになることでした。」大学は、検索用の情報を保存するだけでなく、インシデントを特定して優先度付けを行い、AIを適用して侵害をより迅速に調査するオプションを提供するツールを必要としていました。

QRadarはすぐに、Mohawk大学が調査したソリューション候補のトップに躍り出ました。このツールは、Gartner社がMagic Quadrant for SIEMレポートでSIEMのリーダーに選出していました。また、パブリッククラウド・プロバイダーと相性が良く、他の高等教育機関からも強い支持を受けていたため、検討中の他のツールよりも際立っていました。
重要なのは可視性です。QRadarなら、これまではなかった複数の可視性が得られます。 Andrew Frank Manager of IT Security Services Mohawk College
概要と経緯の詳細
検出、優先順位付けのためのSIEM

Mohawk大学は、多様で分散したITネットワーク上の脅威を、より迅速に検出して優先度付けを行うために、QRadar SIEMプラットフォームを実装することを決めました。「必要なツールの要件を決定したとき、QRadarは多くの要件を満たしていました」とFrank氏は言います。「私たちに必要だったのは、単にツールを販売するだけでなく、インストールに関する専門的なサービスを提供してくれる人でした。」

Mohawk大学は、QRadarソリューションの実装と、大学に最適な継続サポートを提供してくれる企業として、地元のIBMビジネス・パートナーであるGlassHouse社を選択しました。

「最初から、GlassHouse社の社員は皆非常にプロフェッショナルであることがわかりました」とFrank氏は言います。「何かを売るためだけにそこにいるわけではなく、私たちとの関係を確立してくれました。」

GlassHouse社はQRadarソリューションを実装し、3つのキャンパスとその主要なデータセンターにまたがるインフラストラクチャーを構築して、大学が複数のシステムや学部からデータを取り込み、分析できるようにしました。IBMビジネス・パートナーは、Mohawk大学チームの訓練も行い、必要なすべてのドキュメンテーションとダイアグラムも提供してくれました。

QRadarプラットフォームは、Mohawk大学のITセキュリティー・スタッフがネットワーク・セキュリティーを視覚化するのに役立つ統合ダッシュボードを提供します。侵害や攻撃が発生した場合、セキュリティー・アナリストは攻撃ダッシュボードを使用して、いつ、どのように発生したかについての洞察を得ることができます。QRadarソリューションは、関連性、信頼性、重大性に基づいて違反に優先度付けを行うため、Mohawk大学は最も優先度の高い攻撃に対応することにまず集中できます。

このソリューションは、ユーザー固有のニーズに合わせて高度に構成が可能です。たとえば、大学では教職員、学生に対する大量のEメール・フィッシング攻撃が発生しています。「ダッシュボードを自分たちで作成することができました」とFrank氏は言います。「フィッシング攻撃が侵入して保護バリアを通過すると、件名、送信者、受信者、メッセージの内容など、データをすばやくピボットして、それらのメッセージをすばやく選択し、それらが組織に侵入した深度、拡散の範囲、影響を受けたユーザーの数などを把握できます。」

その後、セキュリティー・チームはユーザーをフォロー・アップして、フィッシング・メッセージを受信したことをユーザーに警告し、ユーザーがそのメッセージを操作したかどうかをチームに通知するよう要求できます。Mohawk大学チームは、他のユーザーがメッセージを利用する前に、Eメール・サーバーからメッセージを削除することもできます。

Mohawk大学は、QRadarソリューションを選択したときにも将来を見据えていました。現在、クラウドではQRadarを実行していませんが、Mohawk大学はQRadar Cloud Visibilityアプリケーションを利用できます。「私たちは、パブリッククラウドから情報を取り込むことができる将来性のあるソリューションを選択していることを確認したかったのです」とFrank氏は言います。「インスタンスをオンサイトで実行するのではなく、クラウドに配置した場合、QRadarは私たちのニーズを実に満たしており、まさに差別化されていました。」

Mohawk大学はまた、QRadar Data Storeを使用したログ管理とSIEMユースケースの両方で、QRadar内にセキュリティー・データレイクを簡単に確立することもできます。QRadar Data Storeを使用すると、Mohawk大学は大量のセキュリティーおよびIT運用データをコスト効率よく収集、構文解析、および保管できます。すべてのセキュリティー・データを1カ所にまとめることで、Mohawk大学は準拠レポート作成を容易にし、より洞察に満ちた結果を得て、クエリを実行するためのより堅固なデータセットをチームに提供できます。これにより、Mohawk大学における実装が簡素化され、コストが削減されます。これは大学がQRadarソリューションを選択したもう1つの差別化要因でした。

GlassHouse社はセキュリティー・チームと協力してシステムを調整し、即時の修復を必要としないアラートを選別しました。GlassHouse社のクラウドおよびマネージド・サービス販売担当ディレクターであるJeff Wilson氏は、「私たちは実践的なデータを入手したいと考えています。その10%に集中し、根本原因を突き止め、迅速に修復します。」

Frank氏は、GlassHouse社のハンズオンの支援に満足しています。「軌道に乗せるには、専門的なサービスが必要でした」と彼は言います。「GlassHouse社と緊密に協力して、当校の環境に合わせて適切に調整されるようにしました。そのため、将来潜在的な侵害が発生した場合でも、それほど多くのデータを選別しなくても、かなりクリーンなインターフェースが得られることがわかりました。」
実践的なデータを入手したいと考えています。その10%に集中し、根本原因を突き止め、迅速に修復します。 Jeff Wilson Director of Cloud and Managed Services Sales IBM Business Partner GlassHouse Systems
成果の詳細
「重要なのは可視性です」

最高のサイバーセキュリティー保護システムを使用しても、一部の脅威は侵入します。また、セキュリティー・チームが脅威を確認できない場合、セキュリティー・チームは脅威に対応できません。QRadarを実装した後、Mohawk大学はサイバーセキュリティー侵害をすばやく見つけて対応できるようになりました。

「重要なのは可視性です」とFrank氏は言います。「ネットワーク上で何が起こっているかを確認でき、さまざまなマシンがどのように接続して相互に通信しているかを確認できることです。大事なのは、調査が必要な潜在的な侵害がネットワークにあるかどうかを確認できるようにアラートを作成することです。QRadarがあれば、これまではなかった複数の可視性が得られます。」

Frank氏は、Mohawk大学のセキュリティー・システムを監督するという以前の複雑な環境と、QRadarダッシュボードで表示できる現在のシンプルな環境を比較します。「想像してください。大規模な組織なら、さまざまなセキュリティー・ツールと装置を使用できます。組織の外部だけでなく、内部のさまざまな場所にある、エンドポイントのマルウェア対策から、データセンター、ファイアウォール、それに侵入防止センサーなどです。」以前は、これらのエレメントにはすべて独自のインターフェースがあり、セキュリティー・チームは潜在的な脅威を表示するために個別にログインする必要がありました。また、各エレメントの多くが、さまざまな学部、キャンパス、場所の学校全体に拡張されていました。

「現在、QRadarはすべてのデータを1つの画面に取り込むため、全体像を確認できます」とFrank氏は言います。「そして、これらのソリューションから発生するすべてのアラート、警告、潜在的な脅威は、私たちが調査するためのリスク・ベースのアプローチで実際に優先度付けが行われます。ですから、本当に情報を選別するのに役立ちます。これによって迅速に対応し、上位のリスクや脅威に焦点を当てることができます。」

Mohawk大学は、QRadar Data Storeを使用してログ管理を一元化し、同大学の支払いカード業界データ・セキュリティー基準(PCI DSS)準拠を強化しています。Frank氏によると、一元化されたログ記録は運用チームにも役立ちます。「セキュリティーに関連しないデータセンターの問題のトラブルシューティングを行う場合、運用チームは詳細を掘り下げることができるようになりました」と彼は言います。「検索を実行して必要な情報をすばやく見つけることができます。また、すべてのマシンに手動でアクセスしてログを手動で確認する必要はありません。平均的なインフラストラクチャー・チームが直面するであろう多くの課題解決を加速させると思います。」

Frank氏は、同大学がGlassHouse社のようなIBMビジネス・パートナーと協力することを選んだことに感謝し、GlassHouse社チームを称賛しています。「QRadarに関して本当に高品質かつ技術的で、知識豊富なスタッフがいただけでなく、サイバーセキュリティー全般に関しても同様でした。私たちは非常に感銘を受けました。」

一方GlassHouse社のJeff Wilson氏は、Mohawk大学との密接な関係が成功を生み出した理由を説明します。「Mohawk大学の環境には、QRadarへの統合に関して難しいことは何もありません」と彼は言います。「セキュリティーでは、お客様と緊密かつ効果的な関係を構築すること、つまりお客様のプロセスやインフラストラクチャー、ソフトウェア環境を理解し、最も重要なデータの場所を把握することが、セキュリティーを提供して、存在するセキュリティー・ホールを修正する方法を見つけるために非常に重要です。GlassHouseのような中規模企業とMohawk大学のような中規模のお客様の間を取り持つことで、このような関わりが成功するのだと思います。」

また、カレッジ・ボードからのサポートと、QRadarソリューションのメリットをすでに享受している運用チームやインフラストラクチャー・チームなどの他の学部からの賛同のおかげで、この取り組みは成功しています。「彼らは、ツールとは何か、どのように機能するかを理解しており、独自の学部でツール自体からどのように利点を享受できるかを理解し始めています」とFrank氏は言います。「これが重要な成功要因だったと思います。また、全員が一致協力して参画することで、大学の内部で適切なソリューションを見つけたことも重要です。」

同大学は、SIEMを含むサイバーセキュリティーのコースを提供することにより、舞台裏のセキュリティー部門と学術プログラムの間の相乗効果を構築しています。最終的には、QRadarプラットフォームを使用していることが就職活動のツールになるかもしれません。サイバーセキュリティーのような需要の高い分野でスキルを身に付けたい学生は、大学が最先端のSIEMソリューションを実装することで、教わっていることを実践していることが分かるからです。
インシデントの特定をオンサイトで行うのではなく、クラウドで行うことにした場合、QRadarは私たちのニーズを本当に満たしており、極めて差別化されていました。 Andrew Frank Manager of IT Security Services Mohawk College
Mohawk大学&GlassHouse社

1966年に設立されたMohawk大学(リンクはibm.comの外部)は、カナダのオンタリオ州ハミルトンにあり、イノベーション文化で有名な高等教育機関としての地位を確立しています。その使命は、コミュニティーの成功とその貢献のために高度なスキルを持つ卒業生を教育し、その準備を整えることです。Mohawk大学は32,500人以上のフルタイム学生、パートタイム学生、見習い学生、留学生を教育し、約1,000人の教員を擁しています。また、Fennell、Stoney Creek、McMaster大学のMohawk-McMaster Institute for Applied Health Sciencesの3つの主要キャンパスを運営しています。

 

1993年にカナダのトロントで設立されたIBMビジネス・パートナーのGlassHouse社(リンクはibm.comの外部)は、民間および公共部門のお客様がIT環境の複雑さと運用コストを削減するのを支援してきました。同社は、クラウド、マネージド・サービス、エンタープライズ・セキュリティー、インフラストラクチャーなどに関する専門知識を持ち、ソリューションを提供しています。トロントのカナダ本社とイリノイ州ライルの米国本社で運営され、約80人の従業員を擁しています。
ソリューション・コンポーネント QRadarセキュリティー情報とイベント管理
次のステップ

この記事で紹介されているIBMソリューションの詳細については、IBM担当者またはIBMビジネス・パートナーにお問い合わせください。

 お客様事例はこちら
法務

 

© Copyright IBM Corporation 2021.日本アイ・ビー・エム株式会社 〒103-8510 東京都中央区日本橋箱崎町19-21

2021年4月

IBM、IBM LOGO、ibm.com、IBM Security、およびTrusteerはInternational Business Machines Corp.の商標であり、世界中の多くの管轄区域で登録されています。その他の製品名およびサービス名は、IBMまたは他社の商標である可能性があります。IBMの登録商標の現在のリストは、Webページ「著作権および登録商標情報」(www.ibm.com/jp-ja/legal/copytrade.shtml)でご確認いただけます。

本書は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMビジネス・パートナーは独自の価格を設定しており、価格は異なる場合があります。 IBMが事業を展開している国であっても、特定の製品を利用できない場合があります。

記載されている性能データとお客様事例は、例として示す目的でのみ提供されています。実際の結果は特定の構成や稼働条件によって異なります。IBM製品およびプログラムを使って他社製品またはプログラムの動作を評価したり、検証する場合は、お客様の責任で行ってください。本資料の情報は「現状のまま」で提供されるものとし、明示または暗示を問わず、商品性、特定目的への適合性、および非侵害の保証または条件を含むいかなる保証もしないものとします。IBM製品は、IBM所定の契約書の条項に基づき保証されます。

お客様は、自己の責任で関連法規および規則を順守しなければならないものとします。IBMは法律上の助言を提供することはなく、また、IBMのサービスまたは製品が、いかなる法規もしくは規則をお客様が順守していることの裏付けを、表明ならびに保証するものでもありません。

適切なセキュリティ実践に関する声明:ITシステムのセキュリティには、企業内外からの不適切なアクセスの防止、検出、対応を通じてシステムと情報を保護することが含まれます。不適切なアクセスは、情報の改ざんや、破壊、悪用、誤用、または他者への攻撃への使用を含む、システムの損傷または誤用につながるおそれがあります。ITシステムや製品は完全に安全であると捉えるべきではなく、不適切な使用やアクセスを防止する上で絶対に効果のある、製品や、サービス、セキュリティー対策は1つもありません。IBMのシステム、製品およびサービスは、合法的で包括的なセキュリティー・アプローチの一部として設計されているため、必然的に運用手順が追加されることになります。また、最も効果を発揮するために他のシステム、製品、またはサービスが必要となる場合があります。IBMでは、いずれの当事者による不正行為または違法行為により、いかなるシステム、製品もしくはサービス、またはお客様の企業に対して影響が及ぶことはないことを保証するものではありません。