Children's National Hospital：Splunkを活用して脅威の検出、調査、対応を強化

自動化で可視性を強化

セキュリティアナリストや脅威ハンターにとって、環境の全体像を把握することは極めて重要です。Splunkを利用するまで、チームはソーシャルエンジニアリングのパターンや戦術など、脅威のパターンを把握するのに苦労していました。しかし、Splunkの自動化機能によって、チームは脅威のパターンを把握するだけでなく、脅威にすばやく対応できるようになりました。

サイバー攻撃者は、フィッシングキャンペーンやその他のソーシャルエンジニアリング手法を使って、ユーザー認証情報に不正にアクセスしていました。このような攻撃では、ときにはパスワードがリセットされたり、連絡先情報が変更されたりすることもありました。そこでチームは、最近行われたパスワードのリセットや連絡先の更新のパターンを分析し、自動化機能によって効果的に検出および対処できる挙動を特定しました。

「私たちは、このプロセスを自動化するにはどうすればよいかを検討しました。具体的には、セキュリティチームにアラートを送信し、パスワードリセットの背後で何が起きているのかを詳しく調査して、攻撃を阻止できるようにしたいと考えていました」と、Finney氏は説明します。セキュリティチームは、Splunkの自動化機能を使ってアラート通知をヘルプデスクに振り分けることで、脅威への対応と修復作業をよりすばやく行えるようにしました。

さらなるメリットとして、Splunkを導入した早い段階で、日常的な管理業務に費やす時間が週あたり25%削減され、その結果、組織の成長につながる重要な調査や付加価値の高い業務に専念できるようになりました。

新たな脅威と新たな機会

Splunk Cloudは、Finney氏とチームに新たな可能性をもたらしました。チームは、さまざまなソースから新しいデータストリームを取得して処理し、これまで以上に高精度なテレメトリデータを活用しています。そして、これらのソースをもとに、日々優れたデータモデルを構築しています。

また、チームは新たな脅威も特定しています。Splunkを活用することで、単一のイベントを起点として横方向に分析できるため、組織全体を俯瞰しながら、類似のインシデントを検出したり、アクティビティを相関付けたりして、潜在的なサイバー脅威や異常を完全に特定できるようになりました。しかも多くの場合、アラートを受け取ってから15分以内に対応できます。

ただし、新しいアラートが多数発生するようになると、チームは対応戦略の見直しや強化を図るとともに、トレーニングへの投資を継続し、イベントの解釈においてメンバーが同じ認識を持てるようにする必要があると、Finney氏は指摘します。「これらのイベントは、患者や患者ケアと極めて密接に関わるさまざまなシステムに影響を与える可能性があります。場合によっては、臨床現場で患者対応を行っているスタッフにも、連絡を取らなければなりません。個人のノートPCとは異なり、臨床関連のシステムでは、より高度なエスカレーションが求められます」とFinney氏は言います。

Children's National Hospitalのセキュリティ運用チームにとって、可視性の向上と脅威検出の強化は、取り組みの第一歩に過ぎません。Finney氏は、Splunk SOARでAIを活用することで、さらに幅広いデータにアクセスし、分析の予測精度を高めるためのアルゴリズムを構築できるようになると期待を寄せています。

同院では、Splunkがすでにセキュリティの中核を担っており、セキュリティチームの予防、検知、対応といった戦略の要となっています。しかし、将来的に大規模なサイバー攻撃が発生する可能性を見据え、Splunkプラットフォームを活用して、特定の部門に特化したセキュリティユースケースや攻撃シナリオを構築しておくことが重要だと、Finney氏は述べています。「私は、Splunkを車輪の中心のようなものだと考えています。ここから病院内の他のツールに情報を伝達し、さまざまな部門やエリアのスタッフが特定のインシデントに迅速に対応できるよう支援したいのです」と、同氏は言います。「Splunkがあれば、病院内の特定のシステムを停止する必要が生じた場合でも、適切な措置を実行し、それを関係者に迅速に通知できる体制を整えることができます」