①グラフィカルで見やすい画面

必要な情報をわかりやすくグラフィカルに提供することは、迅速な情報伝達には欠かせません。また、お客様の独自の使い方に合わせたカスタマイズが可能であることも重要です。

アサインされている担当者、チケットのステータス、脅威インテリジェンスの結果、SLA状況などをサマリーとして見やすい場所へ配置することで、アナリストの判断を容易にします。

②調査履歴とエビデンスの整理

調査の対応履歴を記入したり、エビデンスを整理したりすることはアナリストにとって必要な作業です。画像のようなメモ機能やエビデンスの格納機能があると便利です

例えば、従業員へのヒアリングの結果をExcelでまとめてもらった際には、そのファイルを格納しておき、必要なタイミングでファイルのプレビューを見たり、ダウンロードしたりすることが可能です。

また、他のユーザーからコメントをすることができるため、より専門的なアナリストがケースを見ながらメンバーをフォローすることも可能です。

③自動エンリッチメント

Swimlaneのケース管理の強みは、ワークフローによって自動化を組み合わせることができる点です。そのおかげで、手間のかかる単純作業を行わずに、注力したい業務に専念できるようになります。

ワークフローの活用が多いのはインシデント対処のエンリッチメントです。その中でも、脅威インテリジェンスデータの収集が特に顕著な事例です。VirusTotalやIPQualityScoreなどと連携することで、URLやメールアドレス、ハッシュ値、IPアドレスなどの評価を行うことができるようになります。

本来であれば、ひとつひとつ手作業で検索する手間を省略し、自動で情報の付加を行うことは重要な要素と言えるでしょう。

④ワンクリック修復

ケース管理の中で対処まで実施できると便利です。部門ごとに管理しているセキュリティ製品が異なる場合は、部門間で連絡を取り合わなければならず、対処が遅れる可能性があります。

ワンクリック修復の機能により、ユーザーの無効化や端末の隔離、ブラックリストへの登録などを迅速に行うことが可能です。アナリストはすべてのセキュリティ製品の専門家である必要はなく、ケース管理を通じて複数のアクションを簡単に実行できるようになります。

⑤部門間コミュニケーション

コミュニケーションは、プロアクティブなインシデント対応において非常に重要です。セキュリティチームは、ケースに関する情報を他のアナリストや別の部門に迅速に伝えなければなりません。

そのため、メールやTeams、Slackなどのコミュニケーションツールを統合し、その情報を連携しやすくすることで、画面遷移を減らし、便利になります。

また、Swimlaneでは承認フローも実装することができ、画像のような「承認/拒否」のボタンを作成できます。ボタンを押すと、レスポンスメッセージとして自動でTeamsメッセージが送信されるため、ボタンをクリックできたかどうかを確認でき、承認者側も安心できる設計です。

（承認ボタンを押すと自動で”Thank you for your response!” が返ってきます。）