Visma Empowers 170 Autonomous Companies with Intelligence-Led Security Program

Visma's CSO Espen Johansen considered building an in-house cyber threat intelligence platform until he discovered Recorded Future's depth of open source intelligence, data collection, and analysis—capabilities his team couldn't replicate without extensive effort and time.

Goal

Gain actionable insights, analytics, and automation to drive scale and agility across 170 autonomous companies while curating threat intelligence for incident response, threat hunting, and vulnerability management.

課題

Visma needed to curate threat intelligence that could drive incident response, threat hunting, and vulnerability management across multiple teams and regions operating autonomously. The federation structure required delivering tactical and operational expertise laterally across applications, infrastructure, solutions, and people—not through top-down mandates.

成果

Recorded Future detected a targeted APT10 cyberespionage campaign at exfiltration, enabling Visma to prevent client data compromise and publish attribution analysis for industry defense. Intelligence now informs M&A due diligence reports, detects infostealers and exposed code on GitHub, and delivers geopolitical context during the Russia-Ukraine crisis to leadership across Finnish, Polish, and Romanian operations.

Intelligence Cloud Equips 170 Autonomous Teams with Actionable Threat Insights

ノルウェーに本社を置くVismaは170社の個別企業からなる連合体で、共有のインフラストラクチャ、サービス、ビジネス開発サポートを活用しています。同社の14,000人の従業員は、ヨーロッパとラテンアメリカの150万人を超える顧客に安全で革新的なソフトウェアソリューションを提供しています。

CSOのEspen Johansen氏は、まず初めにインテリジェンスを通じて実用的なインサイト、分析、自動化機能を手に入れるためにRecorded Futureを導入して、スケールとアジリティを推進しました。Johansen氏はIntelligence Cloudの威力を目の当たりにして、チームの戦略を変更したと振り返ります。

「社内でサイバー脅威インテリジェンスプラットフォームを構築することを検討していました」と彼は言います。「しかし、Recorded Futureと、同社が持っているオープンソースインテリジェンス、データ収集、分析の深さを知り、当社のデリバリーチーム向けにこれ以上に優れたサービスを構築するには多大な労力と時間が必要であることは明らかでした。」Vismaのインフラストラクチャセキュリティプログラムと、Recorded FutureのIntelligence Cloudを基にするサイバー脅威インテリジェンス（CTI）サービスを率いるセキュリティ運用マネージャーのCatalin Curelaru氏は、チームがRecorded Futureから得られる実用的なインテリジェンスを多くの組合員企業に提供していると述べています。

「基本的に私たちのチームは、Vismaセキュリティプログラムを通じてポートフォリオ企業にサービスを提供しています。具体的には、監視機能を提供するCTIサービスや、数人のセキュリティアナリストによる戦術とオペレーションの専門知識を提供しています」と同氏は説明します。「当社は多くのチームにセキュリティサービスを提供しています。これはトップダウンのアプローチではないため、アプリケーション、インフラストラクチャ、ソリューション、人材など幅広い分野を横断的にサポートしながら業務を進めています」。

VismaがRecorded Futureから得るインサイト、分析、自動化は、攻撃の防止に役立つだけでなく、セキュリティプログラム自体の進化にも重要な役割を果たします。Curelaru氏は次のように補足します。「当社は数年前に製品セキュリティに重点を置いたCTIを立ち上げましたが、現在はインフラセキュリティや脆弱性インテリジェンスなど、他の分野をサポートするサービスを構築しています」。

標的型攻撃に直面した際の実用的なインテリジェンスと脅威調査の活用

Recorded Futureを導入して間もなく、Visma氏は高度に標的を絞ったサイバー攻撃を受けました。Johansen氏は「それは攻撃を受ける約7日前に始まりました」と振り返ります。コマンド・アンド・コントロール・ドメインから始まり、従業員を狙ったフィッシング攻撃、認証情報スタッフィング、古いCitrixサーバーへの情報漏洩へとキャンペーンが続いたのです。侵入者は盗んだユーザー認証情報を使用して権限を昇格させ、横方向に移動してActive Directory Hiveを窃取しました。

Recorded Futureの支援を受けて、同社は注目を集めました。「私たちは攻撃を潜入の瞬間に発見し、すぐさまブルーチームの対応を開始しました。第二波、つまり攻撃の真の目的に備え、阻止するためです」とJohansen氏は話します。「既存のセキュリティプログラム、セキュリティチームの協調的なレスポンス、パートナーからの適切なアドバイスにより、顧客データの侵害を防ぐことができました」。

Recorded FutureのInsikt Groupが侵入を分析し、このサイバースパイキャンペーンは中国政府が支援する脅威アクターであるAPT10によって実行されたと判定しました。「運良くも、私が信頼していたRecorded Futureに電話して、インシデントをより深く掘り下げ、追加の情報を収集し、適切な属性情報を確認することができました」とJohansen氏は回想します。その後チームはRecorded Futureと提携して攻撃の詳細な分析を公開し、他のチームが脅威を回避できるようにしたと付け加えています。

「Recorded Futureの報告書には、侵害の指標や方法論が含まれており、他の人も読むことができます」とCSOは説明します。「この脅威アクターがどのように活動するのかを詳しく学び、自分たちで防御策を準備することができます。このような話を共有しなければ、組織から自衛能力を奪うことになります。」

自動化された脅威監視により解決をスピードアップできます。Vismaエコシステム内のセキュリティアナリストは、動的な脅威の状況からリスクを明らかにするために、定期的にIntelligence Cloudを活用しています。監視リストとアラートを簡単にカスタマイズすることで、Vismaのチームはダークウェブの活動、敵対的なブランド言及、タイポスクワット、差し迫った攻撃に関するチャット、Vismaのテクノロジースタック全体に影響を及ぼす脆弱性を追跡できます。

「潜在的なイベントやインシデントを防ぐために、特定のキーワードに関する多くのアラートを組み込んでいます」とCurelaru氏は話します。「Recorded Futureのアラートは大いに役立ちました。特に、さまざまなコードリポジトリやフォーラムでの言及など、非常に具体的なオペレーショナルインテリジェンスを探す際には助けられています」。

チームリーダーは、Recorded FutureがGitHubリポジトリで公開されているコードについてチームにアラートを出し、迅速に解決に至った事例を振り返ります。また、実用的なインテリジェンスにより、Microsoft Outlookの重大な脆弱性の緩和を加速できたという事例もあります。これには、Vismaのどの企業がこの人気メールアプリケーションを使用しているかというコンテキストの提供が寄与しました。

「悪者やサイバー犯罪者の最初の侵入口である情報窃取型マルウェアを検出することもできます」とCurelaru氏は言います。「全体的に、Recorded Futureは普通なら可視性を得られないものでも、しっかり検知してくれます」。

Threat IntelligenceとGeopolitical Intelligenceが、M&Aの意思決定とオンボーディングをサポート

Vismaが合併と買収を通じて数十年にわたる成長戦略を継続する中、Recorded Futureはあらゆる段階で価値を付加しています。Curelaru氏は、Threat IntelligenceモジュールおよびGeopolitical Intelligenceモジュールが、将来のパートナー、業界、地域に関する戦略的な意思決定に情報を提供すると同時に、セキュリティオンボーディングプロセスを加速すると述べています。「私たちは、M&Aの段階で企業を評価する際に、Recorded Futureを使ってデューデリジェンスを行っています。何が期待できるかを知るためです。」と彼は説明します。「私たちは、企業が過去にサイバーセキュリティインシデントを経験したことがあるかどうか、また何らかの理由でその情報を利用できないようにしようとしたかどうかを示すレポートを作成します。」

買収した企業に対してVismaはサポートを提供しますが、既存のチームには自律性を残しています。「私たちは、中央のVismaセキュリティプログラムを利用する企業にサービスを提供し、独自のセキュリティエキスパートを持つ企業にもサポートを提供しています」とCurelaru氏は説明します。「企業に独自のセキュリティ部門がある場合や、サイバーセキュリティに関して異なるビジョンをいだいている場合でも、独自の見解を保つことができます。私たちは統制を推進しようとはしていませんが、少なくともいくつかのベースラインを持ち、成熟度を知りたいと思っています」。

Vismaのユニークな成長戦略により、常に新しいセキュリティチームが加わり、アナリストはCTIなどの強力なツールやサービスにアクセスできるようになっています。同時に、Intelligence Cloudを使用することで、中央セキュリティチームは急速に拡大するVismaのデジタルプレゼンスから生じるリスクを未然に防ぐことができます。

「Recorded Futureは、IOCが脅威ハンティングを行う際に使用する重要な情報源となっています」とCurelaru氏は話します。「Recorded Futureによるマルウェアログの情報源収集によってアラートがトリガーされた場合、それはVismaの従業員による可能性があり、そのデバイスの責任は当社にあります。このアラートは、どのデバイスが侵害された可能性があるのか、いつ侵害が発生したのか、そして導入している他のEDRツールでなぜ検出できなかったのか、社内でハンティングする必要があることを意味します」。

ロシア・ウクライナ危機に直面しても、ビジネスリーダーが常に情報を把握するのをインテリジェンスが支援

標的型脅威インテリジェンスは、インシデントレスポンスや脅威ハンティング活動の優先順位を付けるのに役立つだけでなく、世界的な出来事から起こりうるリスクについてビジネスリーダーに事前に警告します。世界的なパンデミックを乗り越え、焦点はウクライナにおける紛争の追跡にシフトしました。

「当社はフィンランド、ポーランド、ルーマニアで事業を展開しているため、関係する可能性のあるサイバーリスクがないか、この地域を非常に注意深く監視しています」とCurelaru氏は言います。「引き金となったのは何か、戦争が始まる1か月前のサイバー作戦は何だったのか、といったところから始まりました。Recorded Futureのウクライナリソースセンターやその他の情報源から、この地域ではさまざまな種類のワイパーや攻撃が発生していることがわかりました」。

紛争が始まったとき、それにより生じる脅威の状況を把握するためにVismaのチームが頼りにしたのは、Recorded FutureのInsikt Group®とGeopolitical Intelligenceモジュールの調査でした。「レポートは非常に有益でした」とCurelaru氏は言います。「Recorded Futureは、セキュリティチームがインテリジェンスをキュレーションするのに役立ち、経営幹部に最も注意を払うべき事項について簡潔に要旨を伝えることができます。Geopolitical Intelligenceモジュールは、さまざまな情報源から得たインテリジェンスを評価する際に、リーダーシップが考慮する必要がある物理的なセキュリティ上の脅威をチームが適切に把握するために役立っています」。

会社全体におけるセキュリティ成熟度の向上

Vismaのセキュリティプログラムは、自律型企業がサイバー防御を強化するよう奨励するために、最新のアプローチを採用しています。チームはプログラムをゲーミフィケーションし、セキュリティ慣行に基づいてポイントを獲得したり利用したりできるようにすることで、自律型企業が成熟度の段階を進むことを奨励しています。Recorded Futureを使用することが、企業を成熟させる特徴の1つになっています。

「私たちはVismaセキュリティプログラムを通じて、企業とアプリケーションのセキュリティ成熟度レベルをゲーム化アプローチで管理しています。特定のオンボーディング基準に基づいて、企業は当社のエンドポイント保護サービスやCTIサービスを利用することができます」とCurelaru氏は話します。「すべての要素をこのゲーム化されたツールにまとめることで、どの企業やアプリケーションがより成熟していて、どのような制御を使用しているかをより正確に把握できます。Recorded Future上に構築されたセキュリティスキャンサービスやCTIサービスを、その他のセキュリティサービスと併用して使用している企業は、プラチナレベルに達することもあります」。

自動化で効率を促進

プログラムが進化するにつれ、Vismaは脅威インテリジェンスをより多くのセキュリティオペレーションに統合することを目指しています。VismaグループはRecorded Futureの自動化機能を活用して効率を最大化し、より緊密な連携を推進する予定であるとCurelaru氏は述べています。

「新しい機能を見るたびに、これを自動化するためのAPIはあるのか尋ねます」とCurelaru氏は言います。「自動化はインフラストラクチャセキュリティプログラムに価値をもたらします。私たちは、Recorded Futureのインテリジェンスを当社のインフラストラクチャ脆弱性管理サービスの再設計に組み込むことも計画しています。リスクスコアの高い脆弱性を見つけたら、このツールを使用して複数のチームと連携し、さまざまな企業への影響を評価します」。

インテリジェンス主導のアプローチでVismaは最前線を維持

Vismaは高い透明性と成熟したインテリジェンスを背景に、サイバーセキュリティのベストプラクティスの権威としての地位を確立しています。結局のところ、インテリジェンスを活用して主導することで、自律性を高めることができるのだとCSOは語ります。

「私たちは従来のセキュリティを根本から覆しました」とJohansen氏は述べています。「統合された実用的なインテリジェンスをチームのワークフローに組み込むことで、セキュリティへの配慮がチーム文化に定着します。」