Rapid7のMDRサービスがワイヤレスエッジソリューションのCradlepoint社のテレワーク環境のセキュリティを強化

Brandon Ashey氏は、CradlepointのITおよびセキュリティ担当ディレクターとして、IT、インフラストラクチャ、通信およびセキュリティの全責任を担っています。同氏のチームでは、AzureやAWS、約200の仮想マシン（VM）など、主にクラウドとオンプレミスの仮想インフラストラクチャでシステム全体を管理しています。

Ashey氏は、多くのIT管理者と同様、ここ数カ月間の新型コロナウィルスの影響による大規模な在宅勤務により、従来からあったセキュリティ課題がより深刻化していることに気付きました。世界中のサイバー攻撃者が、パンデミックにつけ込んでリモートアクセスインフラストラクチャとビデオ会議プラットフォームを標的にして、新たなにウイルスをテーマにしたルアーフィッシングのキャンペーンを展開しています。4月には、Googleが、新型コロナウィルスをテーマにしたスパムメッセージを毎日2億4000万件、悪意のあるフィッシングメールを1800万ブロックしていると発表しています。

脅威に対する取り組み

CradlepointとRapid7とは、パンデミックの発生よりかなり前にさかのぼる2017年が関係を構築してきました。当時、Ashey氏は、ノートパソコンのセキュリティとモニタリングの可視性とコントロールの強化が急務であると考えていました。フィッシングは常に存在する脅威ですが、特に、見知らぬ送信者から毎日多くのメッセージを受信している多忙な営業担当者にとってはなおさらです。

同氏は、以下のように説明しています。「最初にやりたかったことは、すべてのアラートとモニタリング状況を表示できるようにすることでした。以前、そんなことは不可能でした。Rapid7に対して非常に興味を持ったのは、エージェントがすべてのエンドポイントに展開できるからでした。」

次に重要だった検討事項は、CradlepointのITチームの規模に大きく関係しています。24時間365日稼働するセキュリティオペレーションセンター（SOC）を自社で運用するだけの規模がなかったため、Ashey氏は、効果的にアウトソーシングできる信頼できるプロバイダーを見つける必要がありました。

同氏は、次のように振り返ります。「環境を監視して、すべてのノイズを取り除き重要なアラートのみを提供してもらうことで、集中した取り組みが可能となるサービスが必要でした。Rapid7のSOCのサポートがなければ、SIEMの稼働など到底できなかったでしょう。」

テレワークの従業員の保護

ベンダー数社とプルーフオブコンセプトを実施した後、Rapid7 MDRサービスが最有力候補となりました。 Rapid7 MDRサービスなら、GartnerのSIEM部門のマジッククアドラントにおける「リーダー」であるInsightIDRを活用し、高度な行動分析と専門知識によって、24時間体制の監視、調査、対応など、専門チームによる脅威検知と対応が提供されます。内部のセキュリティチームの一員として、24時���365日、SOCによる監視と脅威ハンティングが提供されるので、増大するサイバーリスクとの戦いで有利に立つことが可能になり、セキュリティの成熟度を大幅に向上させることができます。

MDRサービスとInsightIDRソリューションは、テレワークの営業スタッフだけでなく、ロックダウン中には、ほぼすべての従業員のサポートを可能にしました。Ashey氏は、次のように説明しています。「Insight Agentにはとても大きな魅力がありました。特に今では、700人近くの従業員がテレワークで働いています。従業員がVPNを使用していないときでも、これらのマシンを即座に可視化できます。エージェントをエンドポイントにインストールしてあったので、Rapid7ダッシュボードに移動して、進行中のすべてを確認できるのです。」

MDRサービスは、Ashey氏が、経営層にサイバーリスクを明確に説明し、ITの重要性に対する認識を高めることで予算を確保するのにも役立ちました。

「経営幹部やビジネスレビューチームにプレゼンテーションを行うときはいつも、全体像を見せるためにRapid7のダッシュボードを利用しています。MDRのダッシュボードを見せることで、中国から数百人の攻撃者が毎日Office365アカウントをハッキングしようとしていることが説明できます。そして改善すべきだと納得させられます。予算を正当化するのに役立つのは、このようなデータの可視性なのです。」

より深い洞察とコントロール

MDRサービスが非常にうまく機能していたため、Cradlepointでは、脆弱性管理の主要なソリューションであるInsightVMにおいても、Rapid7との関係を強化することが決定しました。この投資はいくつかの点で非常に理にかなっています。同製品は同一のInsightエージェントを使用しているため、追加で別のエージェントをインストールして何百人ものユーザーのエンドポイントのパフォーマンスを低下させなくて済みました。さらに、Rapid7がすでに良く知られていて、とても信頼されていたため、法務部門との契約レビューで大きく時間を節約できました。

組織が直面しているサイバー脅威の規模を経営陣に示すためにダッシュボード表示はその真価を発揮しています。対話型のユーザーインターフェイスは、CVSSスコアのみにとどまらず脆弱性とビジネスリスクの詳細情報を単一ペインで表示することができるので非常に便利です。どのような脆弱性にさらされているか確認することで、修正作業の優先順位付けができます。ロックダウン中のビジネスをサポートするために使用するビデオ会議プラットフォームであるZoomで、複数の脆弱性が発見されたときにダッシュボード表示が特に役に立ったとAshey氏は説明しています。

点と点を結び線に…さらに面で対応

将来的には、InsightConnect（Rapid7のセキュリティ自動化オーケストレーションツール）を使用することで、製品の機能を拡張し、InsightVMをIvantiとシームレスに統合して、自動的に資産とパッチの管理を実施していく計画です。しかし、それはあくまで次のプロジェクトです。他の多くの組織が大量のテレワークの従業員のIT環境を安全に管理するのに苦労しているこの状況下で、MDRサービスとInsightVMが大きな効果をあげていることにAshey氏はとても満足しています。

同氏は次のようにまとめています。「Rapid7が大好きです。世界中のすべてのデバイスとすべてのユーザーを網羅しているからです。グローバルネットワークを網羅したサポートを提供してくれていると強く実感しています。」