©2024 Akamai Technologies
課題
この組織では 6,000 台以上のラップトップが組織全体に展開されているため、IT セキュリティチームはそれらが IT 環境全体に及ぼすリスクについて懸念を深めていました。さらに、一部のパワーユーザーによるシャドー IT の問題も継続しており、対処する必要がありました。
それ以前からエンドユーザー・コンピューティング・チームがいくつかのセキュリティ対策を実施していましたが、限界がありました。マルウェアの伝播を効果的に阻止するために、ユーザーがシステムにアクセスするのを細かく制御したり、ピアツーピア通信を制限したりすることもできませんでした(後者は組織で大きな懸念となっていました)。
こうしたギャップに対処するために、関係者は可視性と詳細なセグメンテーション制御を従業員のデバイスに拡張できるソリューションを導入することで、ビジネスのセキュリティ体制を改善したいと考えていました。これには、承認されていない ラテラルムーブメント(横方向の移動)を観察し、防止する効果も期待されていました。
解決策
セキュリティ関係者は数回にわたって、複数のサイバーセキュリティのユースケースのために Guardicore Centra Platform の採用を検討しました。そして、最終的に段階的なアプローチを採ることを決定しました。Guardicore のソフトウェア定義のセグメンテーションポリシーは基盤インフラに縛られていないため、同社はいくつものセキュリティ対策プロジェクトに対処することも可能でした。しかし、従業員のラップトップの危険性が高いと認識し、Guardicore エージェントをエンドポイントに導入することを優先しました。
結果
プロジェクトの開始後、Guardicore の合理化された Windows エージェントが組織のコンピューターにすばやく導入されました。拡張されたプロセスレベルの可視性により、ユーザーアクセスとラップトップアクティビティが可視化されました。
IT セキュリティチームは、こうしたエンドポイントのセキュリティ制御を一元的に作成・管理することができました。この作業はすべて、正確な環境データに基づいています。その後、ログイン試行の失敗など、特定の Microsoft Remote Desktop Protocol(RDP)アクティビティに関するアラートを含む、複数のポリシーも迅速に設定することができました。
きめ細かい可視性を実現
開後まもなく、異常な RDP 関連アクティビティを報告するように設定されたポリシーが、おびただしい数のアラートを発信したことがありました。ログインに失敗するケースが相次いだため、攻撃者が 総当たり攻撃 を試みていることがすぐに判明しました。
T セキュリティチームが状況を注意深く監視し、攻撃者が攻撃を続ける中、Guardicore エージェントを使用してすべてのエンドポイントで RDP をコールしてブロックすることを決定しました。わずか数回のクリックで、RDP を無効にする新しいセグメンテーションポリシーを作成・適用し、エンドポイントが 1 つでも侵害される前に攻撃者を阻止したのです。
ランサムウェアの活動を阻止
セキュリティチームは、事後検証プロセスにおいて、あらゆる指標が既知の主要なランサムウェア攻撃者の存在を示していることにすぐに気づきました。
その攻撃キャンペーンが成功していたら、攻撃者はいつもの手口で、アクセスできたものを暗号化し、身代金要求を試みたと思われます。同社の組織規模と現在の傾向を考えると、攻撃者の身代金要求額は 100 万ドルに達していたかもしれません。もし、ERP システムなど、ビジネスに不可欠な資産が侵害されていたら、さらに大きな混乱とダウンタイムが発生していた可能性があります。
しかし、迅速に対応したセキュリティチームと Guardicore のおかげで、攻撃未遂による組織への影響はありませんでした。
シャドー IT の停止
Guardicore のプラットフォームは、外部からの脅威を食い止めるだけでなく、社内における課題にも効果を発揮しました。Guardicore の導入前はエンドポイントの可視性が限られていたため、一部のユーザーは正式なプロセスを簡単に回避し、組織の公式ポリシーに反して勝手に行動していました。しかし、エンドポイントに対する新たな知見とセキュリティ制御の実施能力が得られたことで、IT セキュリティ部門はシャドー IT を抑制することに成功しました。また、DevOps 組織のメンバーが公式な承認ルートを通さずに新しいリソースを立ち上げようとすることも防止できました。
Guardicore による保護の拡大
この通信インフラプロバイダーにとって、エンドポイントの保護は始まりにすぎません。同社はまもなく、さらなる新機能を検討し、Guardicore をデータセンターに展開し、Citrix 環境を保護し、外部ベンダー向けにサードパーティのアクセス制御を適用する予定です。
同社は、このプラットフォームの柔軟性により、将来に M&A 戦略やデジタルトランスフォーメーション構想が展開された場合でも、巧妙な脅威に対する保護をあらゆる環境に拡大できるという安心感を得ることができました。