グループ横断でのサイバー攻撃の検知・分析を実施
三井不動産は、SIEMをElastic Securityで内製化することで、単一基盤でグループ横断のログ分析を行い、セキュリティインシデントへの対応を加速させています。
誤検出を減らし、アラート対応負荷を40%削減
三井不動産は、脅威を緊急性・切迫性で優先順位付けし、より絞ったアラート対応を実現しています。
緊急インシデントにリアルタイムで対応可能に
三井不動産は、攻撃を予兆の段階で認識し、直ちに対応することでシステムを保護しています。
Elastic Securityは、三井不動産の社内システムおよびサイバー攻撃の状況を完全に可視化
デジタルの世界とは一見結びつかない不動産業界。日本最大級の不動産デベロッパーである三井不動産株式会社においても、事業成功の鍵はコードやアルゴリズムではありませんでした。しかし、イノベーションを通して社会的付加価値の創出を目指す同社は、近年デジタルを活用したサービスを展開、ECとリアル店舗の間を繋ぎ、お客様、テナント企業に対して新たな価値を提供しています。
このような新規事業分野の展開に伴い、新たなサイバー攻撃に向けた対応が急務となり、すでにグループ全体のサイバーセキュリティ対策を担っていた三井不動産のセキュリティチームの任務はさらに拡大しました。しかし、セキュリティの監視と分析基盤を外部委託していたため、セキュリティデータから重要な洞察を引き出すことが難しい状況にありました。そこで三井不動産は、セキュリティ監視基盤を自社環境として構築し、自社環境の監視とログ分析を行うことで、インシデント対応を効率化することにしました。
「全てマネージドサービスに外部委託していたため、自社で分析を行う基盤がありませんでした」と当初の状況を振り返る、三井不動産株式会社DX本部の張 丞朝氏。「こちらでは何も見えず、分析結果だけを聞くだけでしたので、セキュリティの実状を正確に把握しづらい状況でした」
同社は、さまざまな SIEM(セキュリティ情報およびイベント管理)ソリューションを検討した結果、最終的にその性能と使いやすさからElastic Securityを採用しました。
「Elasticは分析基盤としての機能が非常に優れており、市場の他の製品と比べてコスト面でも遥かに優れています。コストを抑えられるため、他の部分により多くの予算とリソースを割けることがElasticを選択した主な理由です」
また、三井不動産では脅威インテリジェンスも外部委託していたため、外部からの脅威状況の可視性が限られていました。そこで、同社は最終的にRecorded FutureをElastic Securityとともに導入し、リスクの優先順位付けを可能にしました。
1つの共通プラットフォームでグループ横断のログ入力・分析を展開
Elastic Securityの導入により、三井不動産はIT環境を監視するための柔軟な基盤を構築し、潜在的なセキュリティ脅威への対策を講じています。同社の基盤では、ネットワーク関連のログ、社内システム、Microsoft 365などのクラウドサービスなど、幅広いソースでセキュリティイベントを追跡することが可能となっており、これらのソースは、Elastic Agentを使用してシームレスに統合することができます。Elastic Agentに搭載されているインテグレーションおよびとデータの自動標準化機能により、新たなログソースの取り込みが簡単に行えています。
セキュリティ監視対象のログがElasticに一元管理されているため、サイバーセキュリティチームは、何をどのように監視したいのかを正確に定義し、設定を微調整することができます。「Elasticは非常に柔軟な設定が可能です」と三井不動産株式会社DX本部の澤田氏。「他のプラットフォームでは実現することが難しい細かな調整を行うことも可能で、細かいところにも手が届くような分析が行えるようになりました。このような詳細な設定ができることは、大きなメリットです」
三井不動産では、Elastic Securityを利用することで、子会社を含むグループ全体のログ分析を一つの基盤で一元管理しています。これにより、セキュリティインシデントに対する迅速な調査・対応が可能となり、効率化が図れるとともに、同社の脅威防御も強化されています。
「Elastic Securityの導入により、サイバー攻撃を検知する強力な分析機能を実現しています。グループ会社を横断して検索・分析できるということは、グループ全体でサイバー攻撃を検知・分析できるということであり、これは当社にとって非常に重要なことです」
脅威インテリジェンスと監視を融合し、リアルタイムの防御を実現
Elastic SecurityとRecorded Futureを併用することで、三井不動産は社内のセキュリティインシデントと社外の脅威データを紐付け、より正確な脅威検知と迅速なインシデント対応を展開しています。例えば、Recorded Futureがダークウェブ上での認証情報の漏洩を特定した場合、セキュリティチームが素早く調査し、リスクを軽減するための対策を講じることができます。同様に、Recorded Futureが他社で発生している新たな攻撃方法を警告した場合、Elastic Securityを使用して、迅速にグループ横断でセキュリティ対策を図ることができます。
「Elasticを使って即座に対策を講じたり、特定のリスクの軽減に向けて特定部分の監視ルールを組むといった状況は度々あります。Elasticがなくては、そのような対策を打つことは非常に難しいでしょう」
以前は、脅威情報を収集・分析し、システムログと紐付け、危険性の高いものを絞り込むプロセスを手動で行なっており、かなり工数がかかっていました。現在は、Elastic SecurityとRecorded Futureのシームレスな統合により、このプロセスが完全に自動化できているため、サイバーセキュリティチームはより戦略的なセキュリティ対策に集中できるようになっています。
コスト効率の高いデータの保存と活用
Elastic Securityの長期データ保存機能により、三井不動産はコスト効率が高い方法でログのヒストリカルデータを維持できるようになりました。以前はコストの制約から、分析用と長期保存用と別々の基盤を運用していましたが、Elastic Securityの階層型ストレージにより、同社はすべてのデータを単一プラットフォームに集約し、頻繁に使用するデータはより性能の良い場所に、古いデータはより経済的な場所にアーカイブすることができます。「この構成により、コストを抑えながら長期保管と分析の用途を両立できており、これはElasticを使う大きな利点です」(澤田氏)
複雑化するサイバー環境を、将来の脅威から守る
三井不動産がデジタル領域の事業展開を拡大し、IT環境が複雑化する中、サイバーセキュリティチームはElastic Securityの自動化・ビルトイン機能を更に活用して、セキュリティタスクを省力化し、新たな脅威から会社を守りたいと考えています。
具体的には、Elastic Securityの機械学習機能をネットワーク通信の異常検知に活用することを検討しています。また、セキュリティプロセスの更なる自動化や今まで発見できていない新たな観点での分析、刻々と変化する脅威状況における継続的な保護の実現に向けて、Elastic内の生成AIを活用する可能性も模索しています。
