テイルズオブテイルズ シーズン2ピンボール

  • 導入事例
  • インタビュー
  • EDR
  • マルウェア対策

運用担当者が語る!
次世代エンドポイントセキュリティ導入の裏側と、1年間運用して実感した効果


                                                                        cybereason_article.jpg

2018年に、次世代エンドポイントセキュリティ EDR※を全社導入したSCSK。
多層防御を実施していても、高度化するサイバー攻撃対策に頭を悩ませていたといいます。
EDR導入の裏側や導入効果を探るべく、SCSKの情報システム担当者やセキュリティ担当者に直接インタビューを行いました。
※EDRとは 「Endpoint Detection and Response(エンドポイントでの検知と対応)」のこと。アンチウィルスソフト等で防ぎ切れず侵入を許してしまったサイバー攻撃を素早く検知・対応し、被害を防止するソリューション。巧妙化するサイバー攻撃への対抗手段として注目されている。

約1万9,000台の端末に次世代エンドポイントセキュリティ EDRを導入

SCSK株式会社はIT活用(yong)に関するコンサルティングから、システム開発、ITインフラ構築、ITマネジメント、BPO(ビジネス・プロセス・アウトソーシング)、ITハードウェア・ソフトウェア販売まで、ビジネスに求(qiu)められるすべてのITサービスをフルラインアップでご提供する総合IT企業です。

SCSKは約1万7,000台のPC、約2,000台のサーバーを自社(she)で利用しています。お客様(yang)の重要なシステムや情報資(zi)産を扱うことから、セキュリティ対策には力を入(ru)れており、次世代ファイアウォールやサンドボックス、Webフィルタリングなど、強固な多層(ceng)防御を施しています。

2018年1月には、さらに出口対策を強化するために次世代エンドポイントセキュリティのEDR(Endpoint Detection and Response)を導入。数(shu)あるEDR製(zhi)品から、「Cybereason EDR」を採用しました。

今回(hui)は「Cybereason EDR」の導入(ru)・運用に関わるSCSK各部門の担当者が集まり、導入(ru)の背(bei)景(jing)や導入(ru)して発見(jian)した意外な効果について語りました。

インタビュー対応者

※所属組織は2019年(nian)3月現在の情報です。



SCSK株式会社 情報システムグループ
コーポレートシステム部 課長 加曽利 浩司

社内システムの構築・運(yun)(yun)用を担(dan)うコーポレートシステム部で社内システムのサーバー基(ji)盤、ネットワーク基(ji)盤、セキュリティ基(ji)盤及びコミュニケーション基(ji)盤の運(yun)(yun)営を担(dan)当。


SCSK株式会社 情報システムグループ
コーポレートシステム部 松澤 隆信

コーポレートシステム部にて主(zhu)にセキュリティに関(guan)する業務に従事(shi)。EDR製品の評価から全社展開までを主(zhu)導し、短期間での導入を完了。


SCSK株式会社 ITマネジメント事業部門
セキュリティサービス部 シニアエンジニア 手塚 信之

長年にわたり、各(ge)種セキュリティ関連製品・サービス提供に従事。直近は社外向け業(ye)務としてSOCサービスの技(ji)術(shu)リーダーを担当(dang)し、セキュリティ監視、インシデント対応業(ye)務を行う。社内SOCにおける技(ji)術(shu)支援(yuan)、CSIRTにおける技(ji)術(shu)担当(dang)も務める。


SCSK株式会社 プラットフォームソリューション事業部門
ITエンジニアリング事業本部 営業推進部 有田 昇

アドバイザーとしてSCSKのCybereason導(dao)入プロジェクトに参(can)画。現在は各種セミナーでのCybereason導(dao)入事例の講(jiang)演や顧客向け提案(an)活動などに従事。中(zhong)小企(qi)業診断士(shi)、情報処理安全確(que)保支援士(shi)。

SCSKが次世代エンドポイントセキュリティ EDRを導入した4つの背景

SCSKがEDRの導入を検討(tao)した背景(jing)には、従来(lai)のセキュリティ対策(ce)だけでは解(jie)決できない難しい課題がありました。

① 巧妙にすり抜けてしまうサイバー攻撃の存在

未知のマルウェアや巧妙ななりすましメールが増えており、多層防御を行っていても100%防ぐことは困難です。なりすましメールは2016年頃から急激に増え始めたと感じていました。
実際に検知をすり抜け、差出人や内容が本物の業務メールと似ている巧妙なメールが届くようになっていました。
誤って添付ファイルを開いたりURLをクリックしたりしても、不正サイトへのアクセスをWebフィルタリングで防御しているため大事には至っていませんでしたが、対応が必要だと考えました。

② 管理が困難な端末の存在

SCSKの端末のうち、約3,000台が業務ネットワーク外で利用されています。例えば、お客様のオフィスに常駐するエンジニアが利用する端末や、検証用に独自のネットワークで運用管理している端末などが該当します。すべての端末にウイルス対策ソフトを導入しているものの、SCSKの業務ネットワークを経由しないため、SCSKのセキュリティポリシーを適用できないことが課(ke)題となっていました。

③ 異常検知された場合の状況確認や、対応にかかる時間や工数の問題

異常が検知された場合、まず端末の所有者に状況をヒアリングし、対処の要否を判断していました。しかし、ヒアリングだけでは判断が難しい場合もあり、実機を詳しく調査することもあります。端末の利用状況は千差万別で、実機の確認には時間も工数も要します。また、実機がSCSKオフィス外で利用している場合、取り寄せや代替機の手配など煩雑な作業も必要です。その結果、インシデント発生から問題解決までに1カ月ほどかかることもありました。

④ ユーザーのITリテラシーに依存したセキュリティ対策の限界

標的型攻撃を想定した なりすましメール訓練で判明した”限界”

社員のセキュリティ意識を把握するために、SCSKでは2017年から標的型攻撃メールに対する訓練を実施しています。
訓練(lian)用のなりすましメールを配信し、「どれぐらいの人がクリックしてしまうのか」「クリックしてしまうメールの内容(rong)はどういったものか」「なぜクリックしたのか」などを調べるものです。

◆なりすましメール訓(xun)練の実施状況(2018年度)

実施回数 年4回(全社員向け2回、新人・派遣社向け2回)
実施時期 ランダム(実施日の事前通知なし)
メール内容 送信対象、実施時期によって異なる
実施後の対応 クリックしてしまう人の集計、分析およびヒアリング

クリックした割合など、具体的な数字を示すことはできませんが、想定よりもクリックしてしまう人が多かったというのが実感です。
SCSKは事業の性質上セキュリティポリシーが高い方ですが、自分に関係する内容であれば、クリックしてしまう可能性が飛躍的に高まることが確認できました。
例えば、2月に実施した訓練では、SCSKの健康保険組合と似た名称で「医療費負担額のお知らせ」という件名で配信したところ、クリックしてしまう人が増加しました。
社員のリテラシーを高めることはもちろん重要です。しかし、普段は注意していても、忙しい時には注意力が低下するケースも見受けられ、ユーザー側での対処には限界があることが改めてわかりました。

事前検証により「Cybereason EDR」を採用。検証結果と評価ポイント

前述のような背景もあり、侵入を100%防ぐことに全力を注ぐのではなく、侵入を素早く検知し、ダメージを最小限に抑える対策が必要と考(kao)えました。そこでたどり着いたのが、出(chu)口対策である次世(shi)代エンドポイントセキュリティのEDRでした。

複数のEDR製品を精査したところ、SCSKに最も適合しそうな製品が「Cybereason EDR」でした。そこで、検証・評価を行うために、コーポレートシステム部を含む情報システムグループのPCおよびサーバー約130台に「Cybereason EDR」をインストールし、約1カ月間実際に業務で利用しました。

「Cybereason EDR」の評価・検証

検証① 未知の脅威を検知する能力

高精度で未知のマルウェアを検知できること、近年流行しているランサムウェアについても検知した瞬間にブロックできることが検証を通じて確(que)認できました。

検証② 脅威への素早い初動対応とフォレンジック能力

不審な挙動があると、サイバーリーズン社から異常検知のアラートが来ます。そのアラートをもとに、管理画面で該当端末の状況をすぐに確認し、リスクのある端末をリモートで隔離できます。
また、管理画面では、端末の動作プロセスも把握できるので、サイバーリーズン社の監視サービス「MSS(Managed Security Service)」と組み合わせることで、高度なフォレンジックを実現できることもわかりました。
結果として、これまでのように「いつ・何をしたか」などを電話で利用者にヒアリングする手間を減らせます。

検証③ IT環境への負荷・既存環境への干渉

「Cybereason EDR」は端末にインストールした“センサー”で異常を検知しますが、当初は、このセンサーによる端末への負担を懸念していました。
しかし、このセンサーは一般のウイルス対策ソフトのようなカーネルモードではなく、ユーザーモードで動作し、OSや他のアプリケーションに影響は与えません。通信(xin)量(liang)は5~10MB/日程度とネットワークへの負荷(he)が少(shao)なく、またCPUへの負担も少(shao)ない点も評価しました。

検証④ 導入展開と運用のしやすさ

SCSKは1万9,000台もの端末を有しているため、センサーのインストールのしやすさも重要なポイントです。Windows 10端末については、マイクロソフト社のSCCM(System Center Configuration Manager)を用いて自動配布し、問題なくインストールできることを確認。さらに、「MSS」も人的リソースの軽減に貢献することもわかりました。

この事(shi)前検証により、「Cybereason EDR」はSCSKのセキュリティにおける課題に向けた有効(xiao)な手段であると結論付(fu)け、導入を決定しました。

本番導入時の対応

迅速なセンサー配布

SCSKでは、早期にWindows 10に移行しています。「Cybereason EDR」のセンサーはSCCMで自(zi)動(dong)配(pei)(pei)布(bu)(bu)できるため、PCへの配(pei)(pei)布(bu)(bu)は非常にスムーズでした。センサーの自(zi)動(dong)配(pei)(pei)布(bu)(bu)について、全社(she)員に事前に通(tong)知(zhi)していましたが、社(she)員から「気(qi)がついたらインストールされていた」という声(sheng)があったほど。Windows 10以外(wai)(wai)のPCやサーバー、業(ye)務(wu)ネットワーク外(wai)(wai)の端末(mo)は手動(dong)でインストールしましたが、特に問題なく対応できました。

サイバーリーズン社の監視サービスとSCSKの自社SOCによるダブル監視体制を構築

脅威検知時の1次対(dui)(dui)(dui)応(ying)にサイバーリーズン社(she)の監視サービス「MSS」を利(li)用し、「MSS」では対(dui)(dui)(dui)処が難しいアラートに関(guan)してはSCSKの社(she)内(nei)SOC(Security Operation Center)で2次対(dui)(dui)(dui)応(ying)を行っています。

図:「Cybereason EDR」導入後の運用体制

「MSS」に完全に任せず、社内SOCとダブル監視を行っている理由は、SCSKの業務の性質上「MSS」だけでは本当に脅威かどうか判断が難しいケースがあるためです。
例えば、SCSKが開発業務の一環として実施する検証作業の操作が「MSS」では不正と判断されてしまう場合があります。当然、SCSKの業務内容も加味した判定を「MSS」に求めることは困難です。社内SOCは「社内システムを熟知している」「現場の業務を把握している」という点で、アラートの精査に役立っています。
また、「MSS」で大部分のアラートがフィルタリングされるので、実際にSCSKが対応する件数は僅かです。全てのアラートを確認するのは非現実的ですので、時間や工数を軽減でき大変(bian)助かっています。

「Cybereason EDR」導入後の2つの効果

効果①社内外の端末を監視し、注意を喚起

「Cybereason EDR」では、センサーがインストールされている全端末を監視できます
導入後は、今まで困難だった業務ネットワーク外の端末(お客様先に常駐するエンジニアの端末、在宅勤務用の端末など)も監視できるようになりました。

特に便利だと感じたのは、端(duan)末の設(she)定情報やインストールされているアプリなども可視化できる点です。リスクの高い端(duan)末は早期に対応し、利用者に注意を喚起することで問題(ti)を未然に防止できます。

「MSS」のアラートで問題を未然に防いだ例

ある時、「MSS」からの“3389ポートへの不正アクセスを受けている端末が存在する”というレポートを受け、リモートデスクトップが有効になった状態でインターネットに接続している端末の存在が明らかになりました。
つまり、外部から不正に操作される危険性があったのです。「Cybereason EDR」のおかげで問題が発生する前に素早く対処できました。

効果②確認工数の大幅削減、リアルタイムに行える初動対策

以前まで、異常を検知した場合、状況確認、解析、調査、レポート作成に至るまで、全工程をコーポレートシステム部が担っていました。一般的にセキュリティ製品は運用が大変で、全社導入すると運用負荷が掛かります。
事前検証段階である程度運用イメージは湧いていましたが、実際導入してみると意外なほど「Cybereason EDR」は運用負荷が低い製品でした。

検知やレポートをサイバーリーズン社の「MSS」が行ってくれ、工数が大幅に減ったことが大きな要因だと考えています。また、今まで端末の特定、隔離、無効化に時間を要していましたが、導入後は瞬時に対応でき、リスクを早期に低減できるようになりました。

◆サイバーリーズン社の監視サービス「MSS」から送付されるレポート(イメージ)

幸いにも、隔離が必要なほどの攻撃は受(shou)けていませんが、事前検証で実感した素(su)早い初(chu)動対策(ce)とフォレンジック能(neng)力(li)は本稼働でも大きな効力(li)を発揮しています。

「Cybereason EDR」を導入すべき企業とは?

経(jing)済産(chan)業(ye)省も「サイバーセキュリティ経(jing)営(ying)ガイドライン Ver2.0」に基づき、多層防(fang)御の実施とともに、攻撃を監視(shi)・検知する仕組みやインシデントに備えた対応・復旧(jiu)体制を整備するよう求めています。

しかし、エンドポイントまで監視するとなると、監視対象の端末やアラートの種類が格段に増えるため、相応のセキュリティ要員が必要になります。近年(nian)はセキュリティ人材の確(que)保が難しく、確(que)保できてもコスト増につながります。SCSKも例外ではありません。

「Cybereason EDR」は、セキュリティに対する意識は高いものの、セキュリティ要員が足りない企業に適しています。初(chu)期対応(ying)の大部分を、サイバーリーズン社の「MSS」が担ってくれるので、少ない要員でも運用することができるのです。

サイバーリーズン社の話では、同社が対応した侵害調査(ハンティング)サービスで、高確率で不正な遠隔操作ツール(RAT)やバックドア、ランサムウェアが見つかるとのこと。しかも、そのほとんどが一定水(shui)準以上のセキュリティ対策を実施(shi)している企業だそうです。

現在、EDRに大きな注目が集まっています。SCSKは、実際に「Cybereason EDR」を導入し、大きな効果を得ることができました。
今後はSCSKへの導入で得た知見をもとに、各企(qi)業に合った「Cybereason EDR」の活用方法(fa)を提案いたします。まずはお気軽にお問い合わせください。

図:【参考】一般的な「Cybereason EDR」導入前後の工数・時間の比較

最新(xin)情報などをメールでお届(jie)けします。
メールマガジン登録

×