Johnson Matthey社 | お客様事例

PDFをダウンロード(英語)

サステナビリティはすべての人の責任

Johnson Matthey社は、1800年代初頭に設立され、英国ロンドンに本社を置く、サステナブルテクノロジーのグローバルリーダーです。世界の主要なエネルギー企業、化学メーカー、自動車メーカーの多くが、脱炭素化、有害な排出物の削減、サステナビリティの向上を実現するために、同社の技術と専門知識に頼っています。

複数の分野にわたる科学とイノベーションに重点を置き、企業向けのIT機能とOT (運用技術)機能を統合した事業構造を構築しているため、サイバーセキュリティは優先課題です。ひとたびデータ侵害が起きれば、稼働率、生産性、さらには従業員の安全に影響が及ぶ可能性があります。

Johnson Matthey社のSOC (セキュリティオペレーションセンター)は、大量のアラートに悩まされていました。コンテキストとテクノロジーが不足していたため、どのアラートが実際の問題を示す重要なものであるかを判断できませんでした。気候変動に対処するという組織の究極のミッションに集中するためにも、必要なコンテキストを提供してアラート調査を効率化し、組織のセキュリティを維持できるソリューションが必要でした。

成果

アラートの忠実度を30%向上
ケース管理にかかる時間を83%短縮
フィッシング攻撃の61%をSOARによる自動化で解決

ノイズを遮断

Splunkを使用する前、Johnson Matthey社では膨大な量のセキュリティアラートが発生し、セキュリティチームはその対応に苦慮していました。アラートを効果的に優先順位付けるためのコンテキストが不足していたため、早急に対応する必要のある15〜20%のアラートをすばやく識別するのが困難だったのです。真の脅威を検出することは、干し草の山から針を探し出すようなものでした。

Splunk Enterprise Securityの導入後は、リスクベースアラート(RBA)を使用して、複数のアラートを少数の有意義なアラートに統合し、チームが対応すべきアラートを絞り込みました。多数の個別のセキュリティアラートをチームに直接送るのではなく、RBAでそれらを照合して、早急な対応が必要な資産やIDに関する情報を1つのアラートにまとめて提示します。これにより、SOCチームは何千件もの無関係なアラートの対応に追われることなく、すべての受信データを分析し、それに基づいて脅威ハンティングを実行できるため、業務効率が向上するだけでなく、組織全体のセキュリティ態勢も強化されます。アラートの拡充により、Johnson Matthey社では、ユースケースの導入数を40〜50%増やし、アラートと誤検知を減らすことができました。

「Splunk Enterprise Securityのリスクベースアラートを使えば、システムから引き出す情報を細かく調整できます。そのため、分析のためにすべてのデータを取り込んでも、SOCが無関係なアラートで圧倒されることはありません」と、Johnson Matthey社のサイバーセキュリティエンジニアであるNathan Lowey氏は評価します。

チームワークで夢を実現

Johnson Matthey社では、データがサイロ化し、レポートが標準化されていなかったため、複数のアナリストが連携することなく、同じアラートに個別に対応することがありました。また、アナリストごとに作業方法が異なり、基準もばらばらでした。一方で、アラートの90%は、特定の20%のユースケースで生成されていました。そこで、Splunk SOARを導入し、プレイブックを使ってアラートの対応プロセスを合理化および標準化することで、アナリストの作業を体系化し、レポートを統一しました。その結果、データが標準化され、正確性も向上し、よりプロアクティブな調整が可能になりました。

また、以前はアナリストが脅威を記録する際に、チケットを手動で作成して関連情報を入力する必要がありました。Splunk SOARの導入後は、プロセスを改善して、こうした定型的な作業を自動化するとともに、コンテキストを追加してアラートを強化しました。これにより、以前は平均30分かかっていたケース調査が、平均5分で完了するようになりました。「Splunk SOARはコミュニケーションの促進に役立ちます」とLowey氏は言います。「アナリストがOT担当者と情報を共有する必要があるときは、ボタンをクリックするだけで、ケースから必要な情報を抽出し、ITサービス管理部門に正式な手続きとして送ることができます。処理はすべて1つのシステム内で行われるため、情報を保護することもできます」

新旧のリスクに対応

高度なサイバー脅威が新たに出現する中、組織は攻撃に先手を打つ必要があります。Johnson Matthey社は、「クイッシング」という新たな脅威に直面し、Splunk Attack Analyzerを導入しました。クイッシングは、標準的な検出システムでは通常の画像と区別できないQRコードを使った、フィッシング攻撃の一種です。

Splunk Attack Analyzerを導入したことで、誤検知率が高かったフィッシング検出システムの精度が全体的に向上しました。以前は、件名に「urgent (緊急)」、「payment (支払い)」、「report announcement (レポート発表)」という言葉を含むすべてのメールが怪しいメールと判断され、フラグが付けられていました。フィッシング検出の精度は当時50%でしたが、Splunk Attack Analyzerの導入後は80%に向上しました。この改善により、真の脅威をより正確に特定できるようになりました。現在では、フィッシングが疑われるメールの約61%が、アナリストが介入することなく自動的に問題なしと判断され、ケースがクローズされます。悪質なURLが検出されたときは、そのURLがクラウドプロキシに自動的に追加されます。

Johnson Matthey社は、Splunk Enterprise Security、Splunk SOAR、Splunk Attack Analyzerを活用することで、データセキュリティ戦略の簡素化と強化、プロセスの合理化、意思決定の向上を実現しました。さらに、個々に作業していたサイバーセキュリティチームのコミュニケーションとコラボレーションを促進して、全員が協力して組織のセキュリティを維持する体制を構築しました。

Splunk SOARとSplunk Attack Analyzerを使ってフィッシングの対応プロセスの一部を自動化しました。実際の脅威ではないケースは自動的にクローズされるため、アナリストが対応するケースの件数を減らすことができました。現在、フィッシング脅威の61%が、アナリストが介入することなく自動で分析および処理されています。

Nathan Lowey氏、 Johnson Matthey社サイバーセキュリティエンジニア