Exabeam

エクサビーム

海外導入事例

世界51カ国・地域の拠点に「Exabeam」を導入
UEBAでサイバー攻撃に対する防御体制を強化セキュリティガバナンスも向上

会社概要
  • 本社:株式会社NTTデータ
  • 設立:1988年5月
  • 業種:システムインテグレーション事業、ネットワークシステムサービス事業、その他これらに関する一切の事業
課題
世界を舞台にビジネスを展開するNTTデータ。しかし同社の各拠点のセキュリティ対策は現地にて行われており、全拠点でガバナンスを統制していくことに課題があった。またNTTデータというブランドイメージを守るためにも、セキュリティ対策を本社から一元管理できる体制を構築するとともに、万一セキュリティインシデントが発生した際には早期に検知して追跡できる仕組みを用意する必要を感じていた。
解決策
セキュリティ対策の一元管理を実現することで、グループ全体のサイバー攻撃に対する体制を強化し、セキュリティガバナンスも向上させることを可能にする次世代SIEMプラットフォーム「Exabeam SMP」を提案。中でも、ユーザ一人ひとりの振る舞いを分析できるUEBAテクノロジーを活用することで、機械学習により自動分析が可能となり、労力の削減と併せて属人化も排除できることを訴求。また年々増加するIT関連のログに対してコスト増をいかに抑えるかという問題に対してExabeam SMPのライセンス体系はユーザ数課金のため、コストを抑制できるのという点も大きな提案ポイントであった。
結果
Exabeam SMPの導入後、セキュリティ対策の一元管理が実現したことで、NTTデータグループ全体の防御態勢が強化され、セキュリティガバナンスが確実に向上した。従来はEDRなどのエンドポイント機器による監査しかできなかった組織でも、ログの監査対象が広がり、自動分析の範囲も拡大した。Exabeam SMPではユーザの異常行動を検知した場合、そのリスク度合いを自動的にスコアリングし、タイムライン上にストーリーとして表示してくれるので、前後や通常の行動と容易に比較できるようになった。

既存製品のアラートの整理によるSOC運用効率化

会社概要
  • 本社:アメリカ合衆国 ニューヨーク
  • 設立:1864年
  • 業種:銀行業
  • 従業員数:約13,000人
課題
Exabeam導入以前は、データ損失防止(DLP)システムを導入しておりましたが、A社は、発生した大量の誤検出を調査するのに多くの時間を要していました。彼らは、追加でスタッフを雇うことなく、または脅威検知の範囲を減らさずに、イベントをより迅速かつ正確に処理するソリューションが必要でした。
解決策
A社は、DLPイベントログをすべてを取り込み、異常行動を検出するためのベースライン活動を作成し、インシデント対応に優先順位を付けるExabeamのUEBAソリューションを選択しました。Exabeamは常にユーザーの通常状態を把握している為、正当なビジネスプロセスである誤検出を除外することができ、C社は実際のリスクの高いインシデントに集中することが可能となりました。
結果
Exabeam Advanced Analyticsを導入後、DLPシステムから発せられる大量の誤検知の調査に時間を要することがなくなりました。Exabeamが自動的にユーザー毎にアラートを含めたタイムラインを作成するためです。従業員数を増やすことなく、ビジネスとセキュリティ運用能力を向上させることができました。

認証情報を使った横展開の追跡、少人数運用の実現

会社概要
  • 本社:アメリカ合衆国 ロサンゼルス
  • 設立:2000年
  • 業種:金融
  • 従業員数:約830人
課題
B社は既にSIEM, ペネトレーションテスト、特権アカウント管理、EDR等を実施していましたが、攻撃者の認証情報を悪用した横展開、特にサービスアカウント等の高権限アカウントへの切り替えを使った脅威を懸念しておりました。SIEMでこのような脅威を検出するためには、複雑で膨大なルール・閾値設定が必要であり、数少ないセキュリティ担当者に負担を与えず、これらの脅威を検出できる必要がありました。
解決策
Exabeam Advanced Analyticsの導入後、特許技術であるStateful User Tracking技術によって、攻撃者のアカウント、端末、IP等の切り替えを一つのタイムラインで可視化することができ、複雑な相関ルール・閾値の設定の必要なく、攻撃者の横展開を容易に追跡することが可能となりました。
結果
既にエンドポイント製品を導入しており、端末へのエージェントインストールも避けたかったB社ですが、エージェントレスでの導入を実現できました。SIEMよりも圧倒的にシンプルに設計された操作性で、数少ないセキュリティチームにとっても簡易な運用で、攻撃者の認証情報を悪用した横展開の動きを追跡できる体制を実現できました。

既存投資を無駄にしない、内部脅威の可視化

https://www.exabeam.com/library/berkshire-bank/

会社概要
  • 本社:アメリカ合衆国 ボストン
  • 設立:1846年
  • 業種:金融
  • 従業員数:約2,000人
課題
不動産ローン、保険等多くの顧客情報や資産を抱えており、外部脅威・内部脅威の両方から守る必要がありました。特に内部脅威対策については、DLPソリューションを導入しておりましたが、どのアラートが本当に脅威なのか判断することが難しく、C社は内部脅威を簡単に可視化できる製品を求めていました。従来型のSIEM製品も以前検討をしていましたが、従業員に対するトレーニングも必要であった為、どのレベルの従業員も簡単に使用できるツールを探していました。
解決策
Exabeam Advanced Analyticsの行動ベースのアプローチにより、本当にリスクの高い脅威にフォーカスすることが可能となりました。また、新たにメール・プリンター等のログを活用することによって、様々なケースでのデータ持ち出しのリスクを検知できるようになりました。今までの単一アラートでは、脅威かどうかの正確な判定が難しかったものも、タイムラインで簡単に全貌が可視化できるようになり、アナリストの余分な調査の必要がなく、リスクの高い脅威を認識することが可能となりました。
結果
新たな製品導入の際は、運用メンバーの追加等で人的コストの問題が多くありますが、Exabeamでは、ジュニアレベルの高度なスキルがないメンバーでの運用を可能とし、シニアレベルのチームは、これまでのように製品に対する特別なトレーニングに時間を奪われないようになりました。より効率的なセキュリティ運用、セキュリティレベルの向上を実現し、大きな投資対効果を実感しました。

内部不正検知・高権限アカウントモニタリング

会社概要
  • 本社:アイルランド ダブリン
  • 設立:1983年
  • 業種:製薬
  • 従業員数:約18,000人
課題
D社は100ヶ国以上で事業を展開している製薬業界の多国籍企業です。過去数年間で50以上のM&Aを経験しており、絶え間なく変化する社内環境の中で、悪意のある内部犯行者やアカウントの不正利用等の脅威から企業を守る必要がありました。しかしながら既存のパターンマッチングのアプローチでは、既知の脅威しか検出できず、内部不正対策としては不十分だと感じておりました。
解決策
数多くの既存セキュリティ製品からのログを取り込み、それらのデータをユーザーセッションとして表示・動作を分析することで、通常の動作から逸脱している行為、既知の脅威だけではなく潜在的な内部脅威を積極的に検出することが可能となりました。また、退職予定のユーザーや、高権限のアカウント等をウォッチリストとして登録することにより、内部不正の予兆をより速く検知することが可能となりました。
結果
Exabeam Advanced Analyticsによって、重要資産の喪失に発展する前に、内部脅威の検出することが可能となりました。Exabeamの行動ベースのアプローチによって、複雑なカスタマイズや外部のプロフェッショナルサービスを利用することなく、アカウントが不正に使用されていないか、通常とは異なる行動をしているユーザーがいないかを把握することができ、内部脅威対策を実現することができました。

脅威の検出力・SOCの生産性向上

会社概要
  • 本社:アメリカ合衆国 ロサンゼルス
  • 設立:2007年3月
  • 業種:情報、通信業(動画配信サービス)
  • 従業員数:約2,200人
課題
E社のセキュリティチームは限られた少数の人員で、レベルを落とすことなくセキュリティ運用することが求められていました。彼らの課題には、様々な異なるログソースからタイムリーに脅威を調査すること、サービスアカウントがどこでどのように使われているかを理解すること等がありました。Exabeam導入以前は、他社UEBAソリューションを導入していましたが、相関ルールに基づいた脅威の検出手法にも不満を抱いていました。
解決策
Exabeam Advanced Analyticsは、多様なログソースからログを収集し、ユーザーおよびエンティティの動作分析ソリューションを提供しました。Exabeamは、データサイエンスと機械学習を利用して、ユーザとサービスアカウントの両方の正常な動作を識別し、ベースライン化を可能としました。ベースラインより逸脱した悪質・異常な活動を検出し、異なるログソースから自動作成されるインシデントタイムラインによって、脅威の可視化を実現しました。
結果
Exabeamの行動モデリングベースのアプローチは、E社が導入していた以前のUEBAツールと比較して、脅威の検出力を大幅に改善しました。また、自動生成されるユーザー毎のインシデントタイムラインによって、異なるログソースから証拠を集めて調査する必要がなくなり、容易にインシデントの全貌が把握でき、E社のアナリストの生産性をさらに向上させました。Exabeam Advanced Analyticsにより、E社は既存のセキュリティソリューションの検出結果を向上させ、SOCチームの調査能力を向上させることができました。

従来SIEM運用からの脱却、ログ分析の自動化

会社概要
  • 本社:アメリカ合衆国 ニュージャージー
  • 設立:1961年
  • 業種:IT/通信、アウトソーシング
  • 従業員数:約57,000人
課題
F社は1日に8~12億もの膨大なイベントをSIEM製品にて集約しており、これらのデータから攻撃者の横展開等の脅威の検出、状況認識をする必要がありました。 従来SIEMでの運用では、エビデンスを収集し、状況を認識するために各ログをピボットする必要があり、各インシデントの調査に数日から数週間を要しており、これらのログ分析をより効率化できるソリューションを検討していました。
解決策
Exabeam Advanced Analyticsは、F社の膨大なイベントをすべて分析し、それらのイベントからすべてのユーザーのベースラインを確立しました。これらのベースラインから、逸脱した行為を検知し、ユーザータイムラインによって容易に状況把握することが可能となりました。
結果
Exabeam Advanced Analyticsによって、従来のSIEMを使った手作業によるグ検索、ピボットでの脅威の検出、状況認識の必要がなくなり、F社はインシデント調査の平均時間を数日~数週間から、数分単位への短縮を実現しました。

アラートの優先順位付け、ホストーIPマッピングの自動化による、IRタイムの向上

会社概要
  • 拠点:アメリカ合衆国 ワシントン
  • 設立:1890年
  • 業種:大学
  • 生徒数:約31,000人
  • 職員数:約20,000人
課題
G校は、その巨大な環境の中で相関ルールベースでのアプローチで昨今の洗練された脅威をすべて検知することは困難と理解し、既存セキュリティ製品の低レベルのアラートの中にも多くの脅威が潜んでいるのではないかと懸念していました。しかしながら調査においては、攻撃者の横展開を把握する為のIPとホストのマッピングにも多くの時間を要しており、その大規模な環境で低レベルのアラートまでも調査をする余裕がありませんでした。
解決策
Exabeam Advanced Analyticsによって、多くの時間を要していたホスト・IPのマッピング作業が自動化されました。それだけではなく、既存の低レベルのセキュリティアラートを、ユーザータイムラインに追加することにより、そのアラートの前後に何が起きていたかを理解でき、対処すべきアラートの優先順位づけが容易・迅速になりました。
結果
Exabeam Advanced Analyticsの自動ホスト・IPマッピング、ユーザータイムラインにより低レベルアラートの整理によって、G校のSOCチームのインシデントレスポンスのスピードは約80%向上しました。アノマリーだけでなく、通常状態も含めたユーザータイムラインにより、サーバー、ルール、ポリシー等の設定不備にも気づくことができ、脅威となる前の問題についても把握することが可能となりました。

無制限ログ集約による、インシデント調査の高速化

会社概要
  • 拠点:アメリカ合衆国 アトランタ
  • 設立:1882年
  • 業種:公立学区
  • 生徒数:約52,000人
  • 職員数:約3,860人
課題
H区は、ジョージア州の最も大きい学区の1つであり、88の学校、52,000人の生徒数を抱えており、多くの個人情報を守る必要がありました。既にいくつかのセキュリティ製品は導入されていましたが、それぞれが個別に機能しており、攻撃者の一連の横展開の動きを把握することが難しい旨を外部コンサルタントに指摘によって気づきました。また、機器のログも統合管理されていなかった為、フォレンジック調査の際はネットワーク機器、端末、セキュリティ製品それぞれのログを個別に調査する必要があり、ストーリーとして状況を把握するには多くの手間を要していました。
解決策
まずはそれぞれの機器のログを1か所で統合管理する為いくつかのSIEM製品を比較検討していましたが、最終的にログ従量課金ではなく、ユーザーライセンス課金であるExabeam Data Lakeをログ統合基盤として選択しました。Data Lakeに集約されたログをExabeam Advanced Analyticsで解析することにより、従来のログ調査の運用を大幅に効率化しました。
結果
DataLakeによって、一定したコストでログを無制限に一元管理することが可能となりました。また、通常SIEMにてログを検索し、人が繋ぎ合わせる必要があったそれぞれのログも、Exabeam Advanced Analyticsのユーザータイムラインによって自動的に整理され、2,3日を要していたログの調査も、数時間単位に短縮することができました。

UEBAによる投資対効果の向上

会社概要
  • 本社:アメリカ合衆国 カリフォルニア
  • 設立:1915年
  • 業種:小売
  • 従業員数:約250,000人
課題
I社は、内部不正・及び標的型攻撃における侵入後の動き(ラテラルムーブメント)を検出できるソリューションを検討していました。その為に、POSシステムを使用するユーザー、社内ネットワーク上のユーザーの活動をモニタリングする必要がありましたが、既存のシグネチャベースや静的なルールでのアプローチでは、これらのユーザーから脅威を検出することは難しいと考え、UEBAでの行動ベースでの動的なアプローチが必要と考えていました。
解決策
ExabeamのUEBAアプローチにより、POSシステムユーザー・社内ネットワークユーザーから、潜在的な脅威を検出できるようになりました。すべての活動がストーリーとして可視化されているため、誰がアクセスし、どういった操作を行っているのか、どういった行為がどういった理由で怪しいのかを簡単に把握することが可能となり、本当に注視すべき人物・行動にフォーカスして運用することが可能となりました。
結果
Exabeam Advanced Analyticsの導入後、SOCチームの大幅な生産性の向上に繋がり、結果SOCチームの人員削減にもつながり、大きな投資対効果を実感しました。