モディーン社、Rapid7のセキュリティサービスとソリューションで脅威を阻止

課題

モディーン社のセキュリティチームは、小規模であるにも関わらず大きな使命を抱えており、さらに事業が成長するににつれてリスクも拡張していきました。Detloff氏率いるメンバー3人のセキュリティチームが監視対象とするイベントソースの数は、数百から数千規模へ急速に拡大しました。モディーン社には、セキュリティプログラムの改善支援と、プロアクティブおよびリアクティブなセキュリティニーズに対応できるパートナーが必要でした。こうした戦略的目標を実現するには、製品とサービスに関し複数の専門家集団を持つ戦略的パートナーが必要です。

解決策

モディーン社が戦略的パートナーとして選んだのはRapid7でした。現在、同社はRapid7のマネージドサービスとクラウドベースのソフトウェアを組み合わせて利用することで、セキュリティプログラム改善に取り組んでいます。導入したセキュリティプロブラムは、顧客向けアプリや社内開発アプリをスキャンするInsightAppSec、脆弱性リスクのスキャンと管理業務を軽減するManagedVM（MVM）、InsightIDRソリューションを使用してSOCエキスパートが脅威を検出し対応するRapid7 MDR、自動化ソリューションであるInsightConnectのSOAR機能です。

Dettlof氏によると、「Rapid7は、単にエンドポイントやユーザーの監視を行うのではなく、それをネットワーク検知機能やその他のデータソースを組み合わせることで、当社が受ける可能性のあるさまざまな攻撃方法を、より適切かつ広く把握する手伝いをしてくれます。その結果、自社に関する文脈化されたデータを得ることができるのです」。Detloff氏はさらに、InsightIDRとInsightVMの両方で利用可能な軽量なエージェントにより、システムへの影響を最小限に抑えながら多くの機能を利用できることを実感していると言います。

脅威を早期に発見早期に阻止

モディーン社は世界中の自社システムとネットワークを定期的にフルスキャンしており、セキュリティチームは、攻撃者によって脆弱性が悪用される前にシステムを評価し、優先順位付けとパッチの適用を実施しています。「MDRの導入によって、Rapid7 SOCが注意すべきアラートを知らせてくれるようになったため、今までの、大量の砂から砂金を探すような莫大なアラート処理の手間が省けるようになりました」とDetloff氏は述べています。「最近、ゼロデイ脅威が発生したときも、Rapid7チームがそれが発表される前の晩に教えてくれていました。翌日、ニュースでそのゼロデイに関する情報を目にしたときには、『これこそプロ集団だ。おかげで私たちセキュリティ担当者は、夜安心して眠ることができる』と思ったものです。」

このMDRサービスがなければ、セキュリティチームの3人で1日に約16,000件のアラートをフィルタリングしなければならなかったのです。「Rapid7チームのおかげで、チームが確認しなければならないのは1日に約5件の検証済みインシデントにまで減りました。5件なら余裕です。また、エンドポイントを分離し、インシデントが解決されるまでユーザーを有効もしくは無効にすることもできます。」

「Rapid7のチームが正確な情報を提供してくれるおかげで、アラートの一つ一つを調査する必要がなくなり、時間を大幅に節約できています」とDetloff氏は続けます。「ある日、Rapid7のセキュリティアドバイザーが、疑わしいスクリプトを実行している別の地域のエンドユーザーについて連絡をくれました。調査したところ、そのユーザーが悪意のあるスクリプトを実行しようとしている感染したUSBドライブを持っていることが判明しました。Rapid7チームがすべてのアクティビティを把握することで、問題が発生する前に阻止してくれたのです。」

「侵入が発生してから、それが発見されるまでの標準的な時間は90〜207日だと言われています」とDetloff氏は続けます。「当社が重大と判断したあるインシデントは、Rapid7 MDRが1時間以内に特定し、2時間以内に対応し、48時間以内に修正してくれました。その対応だけでも、今年、MDRサービスコストがペイできるほどの価値がありました。」

人員を増やさずにセキュリティ対応範囲を拡大

「Rapid7 MDRがなければ、同等のカバレッジを提供するために最低でも4〜5人が必要になると思われます」とDetloff氏は述べています。「脆弱性管理の面では、修正が必要なものを特定するためのスタッフだけで少なくとも2人の追加が必要でだと思いますが、彼らに修正の実施まで行わせるのは無理でしょう。」また、MDRの面では4〜5人の増員が必要となるとしています。

「Rapid7のMDR担当者は、他にはない専門知識を持っています。また、エージェントによる修正機能と、ユーザーを自動的に無効または有効にする機能も気に入っています。MDRとInsightConnectの統合も当社にとって魅力的です。

セキュリティプログラムに集中できる時間を確保

「私はこの仕事が大好きで、できる限り個別のインシデントを掘り下げたいと思っていますが一日中イベントの優先順位付けをしなければならないとしたら、そんな時間はありません。Rapid7 MDRによってより戦略的な取り組みに時間を割けるようになり、検知対応だけでなく、セキュリティプログラム全体に集中することができます。」

「昨年の冬に重大なセキュリティインシデントが発生したとき、私は湖で氷上釣りをしていたんです」と同氏は続けます。「当社のセキュリティアナリストとRapid7と電話で話をし、リモートでインシデントを確認し、決定を下すことができました。ウィスコンシンの湖の真ん中からインシデント対応したんですよ！Rapid7 MDRを導入していなければ、対応のために急いで家に帰らなければならなかったでしょう。」

フィッシングの課題への対処

「当社にとって重要なセキュリティ課題の1つにフィッシングがあります」とDetloff氏は述べます。「侵害の80%はフィッシングメールをきっかけとしており、疑わしいメールのユーザーレポートが1日に約40件届き、分析すると、そのうち約5件が実際に問題のあるメールです。」InsightConnectの導入により、40件のメールへの分析は不要になり、問題の5件に集中することができるようになります。「メールを取り込み、すべてのリンクと添付ファイルをいくつかの異なる脅威インテリジェンスソースに渡して実行し、それが無害なもの、悪意のある既知のもの、疑わしいもののどれに該当するかを判定するワークフローを構築しました」と同氏は説明します。

「必要な対応は、対象が悪意のあるものかどうかを確認するボタンをクリックすることだけです。そうすれば、InsightConnectがMicrosoft Exchangeから削除してくれます。これで、以前はメール1件に30〜40分かかっていたプロセスが、数分に短縮されました。」同社はまた、メールフィルタリング改善のために新しいメールゲートウェイに移行する過程にあり、InsightConnectのサービスとの統合を使用してフィッシング修正をさらに自動化する予定です。 

アプリケーションのセキュリティを定期的にテスト

モディーン社はInsightAppSecを使用してアプリケーションを動的にスキャンしています。「当社はお客様向けアプリケーションを社内で開発していますが、これは確実に保護されていなければならないものです。アプリの開発者たちは、自分たちの作ったアプリがOWASPに準拠しているかどうかがわかるOWASPレポートを毎回楽しみにしています。」 

モディーン社は今後、イベントソースとインジケーターの両方をフィードしつつ、エージェントとアラートシステムの使用範囲を拡大し、さらに自動化を追加していく予定です。「自動化は、小さなチームにとって非常に重要になると考えています。」