InsightVMがSierra View Medical Centerのセキュリティリスクの優先順位付けと迅速な修正作業を実現

Sierra View Medical Centerの情報セキュリティマネージャーであるScott Cheney氏は、組織が直面している脅威を十分に認識していました。Sierra View Medical Centerはカリフォルニア州ポータービルにある最先端の病院で、患者に最善のケアを提供するために、1,200のエンドポイント、300のサーバー、および1,500のネットワークデバイスを利用しています。しかし、同氏は、エンドポイントとサーバーを保護し続けるために必要な種類の可視性と制御を得るのに大変苦労していました。

可視化できていなかったIT環境

病院で唯一のフルタイムの情報セキュリティ専門家として、同氏は日常業務を支援するIT運用、ネットワーク、およびシステムスタッフと共有できるリスクレベルに対して、リアルタイムに自動的な洞察を行う必要がありました。また、システムにパッチを適用して回復力を維持するために、重要な修正作業を優先順位付けして、IT部門に割り当てる方法を合理化する必要がありました。

同氏がSierra View Medical Centerで責任者になってから、最初に入って来た唯一の情報は、サードパーティプロバイダーからの四半期と年2回の脆弱性スキャンレポートでした。CVSSスコアが添付されていただけだったため、リスクを効果的に優先順位付けするために必要な詳細情報が不足していました。そして、スプレッドシートで情報をまとめてから、修正する必要のある脆弱性についてマニュアル作業で優先順位を付けることを余儀なくされたチームにとって、修正作業は「ほぼ不可能」な状態でした。

同氏は次のように説明しています。「私たちがやろうとしていたのは、外部公開された重要な資産にはパッチを適用し、内部的な資産にはほとんどパッチを適用しないことでした。それは、InsightVMの導入するまで不可能でした。当時のやり方で現在、実施している作業を行うことは物理的に不可能でした。」

Rapid7 InsightVMとInsightIDR

同氏は必要な可視性を実現するために、Rapid7 InsightVM（旧Nexpose Now、クラウドバージョンのNexpose）とInsightIDRを導入することにしました。業界をリードする脆弱性管理プラットフォームであるInsightVMを使用することで、ITチームは組織のどこにリスクがあるかを正確に確認し、リアルタイムでデータを表示して、修正タスクをすばやく簡単に割り当てることができます。一方、InsightIDRは、ユーザーの行動分析、エンドポイント検知、および視覚的なログ検索を組み合わせた統合された検知および調査のソリューションです。 同氏にとって、双方の製品で共通して利用可能で導入の手間を省くことができるRapid7 Insight Agentが大変魅力的でした。さらにエージェントによって、エンドポイントでの認証情報のスキャンを回避や、仮想デスクトップ環境がどのように変化するかを初めてリアルタイムで確認できるようになります。これが同氏にとって導入の大きな決め手となりました。

Sierra View Medical Centerは、InsightVMのクラウド配信モデルに大変満足しています。同氏は、次のように述べています。「ITは、より多くのシステムを管理し、より多くのサーバーを維持する作業の大変さにうんざりしているため、とりわけ、クラウドがうまく機能していることが証明されたことで、クラウドが組織において非常に簡単に受け入れられました」

目を見張る可視性

Sierra View Medical CenterのITスタッフが、それまでとの違いに気付くのには、それほど時間がかかりませんでした。InsightVMによって生成されたリアルタイムデータは、関係者全員にとって画期的なものでした。同様に重要なのは、InsightVMが提供する詳細なリアルリスクスコアです。これは、CVSSの1〜10で表現できるレベルはるかに超えています。脆弱性の発表されてからの経過時間、利用可能なエクスプロイト、使用されているマルウェアキットなどの要因に基づいた1〜1,000のリスクスコアです。

同氏は次のように説明しています。「InsightVMが導入されて以来、信じられないほどのレベルで現状を確認できるようになったことは、デスクトップチームとサーバーチームにとって大きな驚きでした。リスクのスコアリングと併せてリアルタイムの可視性を実現することは非常に重要です。最初にツールから情報を取得した際に、修正するために提示されたアイテムの量が圧倒的に多かったので、リアルタイムのリスクスコア機能は間違いなく重要であり、集中して取り組むために大きく役立ちました。」

同氏はリスクスコアの正確さに非常に自信を持っています。そこで、組織ではリスクスコアを使用して進捗状況を監視し、プロジェクト全体の成功を計算しています。

ワンストップショッピング

Sierra View Medical CenterのITチームでは、InsightVMのもう1つの主要な機能であるライブボードも効果的に活用しています。同氏は週に数回、ライブボードをチェックして、動的なリアルタイムデータでプロジェクトの進捗状況を監視しています。「全体像」を見ている間に同時に、この可視性により、他の技術チームでは、展開の計画が進行中です。認証スキャンにはあまり注力しておらず、ダッシュボードではIT環境全体にわたるリスクの重要かつ詳細な情報を表示しています。

同氏は、次のようにコメントしています。「ダッシュボードこそはすべてを見つけ出すためにある唯一の場所です。例として、初心者が利用できる資産の割合を見るとなると、とても恐ろしいことですが、環境全体にその情報を提供するために他のツールがありません。」

容易な修正作業

InsightVMによって報告された問題の修正に関しては、Rapid7プラットフォームの修正ワークフロー機能により、以前は時間がかかっていた作業が、よりスムーズで効率的になりました。以前は、マニュアル作業で表にまとめてから、優先順位を付けて割り当てる必要があったため、外部の重大な脆弱性以外の問題を修正することはほぼ不可能でした。今では、修正タスクをリスクに応じて優先順位付けし、それに応じてデスクトップ、VDI、サーバー、またはネットワーキングチームに渡すことができるようになりました。

同氏は次のように説明しています。「リスクの大きい順に分類し、リスクの大きい順に対処できるようにすることが本当に重要です。なぜなら、IT運用業務についてはフルタイムでも、セキュリティ業務についてはパートタイムのチームだからです。つまり、その週に、2つでも試すことができる単なアイデアを思いつくことができるようにすることが非常に重要なのです。」

結果は明らかでした。わずか1か月半後に、すべてのサーバーの脆弱性の12％とVDIバグの7％を解決することに成功しました。InsightVMを導入する以前のIT部門は、まるで常に火消しを行っている状態で、進捗状況など全くわかりませんでした。可視性と管理能力が実現できたことは関係者全員にとってとても素晴らしいニュースです。