標的型サイバー攻撃などの脅威に対し社内向けセキュリティの強化へ

東計電算は、業種・業務別ソリューションの提供、情報処理のアウトソーシング・ビジネス、ネットワークシステムの開発・運用の三分野をコア・ビジネスとして手がけるI CTソリューションベンダー。その高度な技術力を背景に、受託開発からデータセンターにおける顧客システムのホスティング、運用管理、サポートまで、トータルにソリューションを提供している。

同社ではICTソリューション部門を11に分けており、各部門は業種別にさまざまなサービスを提供している。これまで、顧客向けのインフラについては高度なセキュリティ対策を整備する一方、社内システムやネットワーク、端末については後回しにしている傾向があった。その理由について、東計電算 執行役員でネットワークマネジメント部 部長の長沼哲夫氏は以下のように説明する。

「データセンターをはじめ、お客様に向けたサービスについては、人員とコストを掛けて常に最新のセキュリティ対策を講じてきました。ですが、社内向け投資となると話が別で、当社の部門は独立採算制でビジネスを展開していることもあり、個々の部門で投資する為、一元的な対策を実施することが難しく、対策のレベルが統一されていませんでした。」しかし最近では、多くの企業がセキュリティインシデントの発生により、少なからず被害を受けている。同社ではこれまで社内向けにウイルス対策やIPS/IDSなどを導入してきたが、これらの対策だけではゼロデイアタックなどの脅威を完全に防ぐことはできないのが実情だ。

「現在のウイルス対策は、過去の攻撃パターンをデータベース化して検知・防御するシグネチャベースのものが主流ですが、それで防止できるのは既知の攻撃のみです。実際、当社でも被害はなかったものの、未知のマルウェアの侵入を確認したことがあります。今後は標的型サイバー攻撃を中心に、従来の対策が通用しない攻撃がますます増えていくと思われ、社内向けセキュリティにおいても急ぎ高度なセキュリティ対策をとらねばならないと考えました」（長沼氏）

未知の脅威への対応、攻撃のログ取得などの機能を評価 クラウドサービスならではの負荷の少なさも魅力

東計電算では、2015年秋から具体的な製品の検討を開始した。その際、特に重視したのはコストと使い勝手だったという。この点について東計電算システム運用部 部長の武藤隆司氏は「あくまで社内向けの対策ですから、顧客向けのような多額の投資はなかなかできません。また、対策を導入したために運用担当者の負荷が増えてしまっては困ります。セキュリティ対策は導入して終わりではなく、そこからが本当のスタートになりますので、運用管理に手間がかからない対策が理想でした」と語る。

同社は、サンドボックスなどのゲートウェイ型、エンドポイント型など、さまざまなタイプの製品やサービスを検討。その経緯について東計電算 システム運用部 運用技術課 課長の志村徹氏は「いろいろと試してみましたが、当社は細かく部署が分かれている上、お客様の環境に対応するため数多くの端末を用意しており、総量は1000台以上にも上ります。加えて、そのハードやOSはバラバラで、個々の環境も異なっているため、多種多様な環境に対応でき、セキュリティ的にも優れ、運用管理が煩雑にならない対策を選ぶべきだという結論に達しました」と振り返る。

そこで候補のひとつとして浮上したのが、マクニカが提供するエンドポイント型標的型サイバー攻撃対策製品「CrowdStrike Falcon」だった。紹介を受けた際に、マクニカのエンジニアが疑似マルウェア（無害）を作成し、攻撃をしてみせたところ既存の対策は未知の脅威であるこの疑似マルウェアに対応できなかった。しかし、 CrowdStrike Falconであれば標的型サイバー攻撃に使用される未知のマルウェアやゼロデイアタックを検知でき、攻撃の痕跡を記録し、防御ができる。さらにCrowdStrike社のSOC（Security OperationCenter）でセキュリティのエキスパートが24時間365日体制で監視してくれることも大いに感銘を与えたという。

「これらに加え、万が一の際にもフォレンジック機能によりマルウェアが行ったことが詳細に分かるので、例えレジストリが改ざんされていたとしてもシステム修復が容易に可能というのも魅力でした。攻撃を100％防ぐというのはあり得ない話です。被害が出たとき、いかに迅速に事態を把握・復旧できるかというのは重要なポイントです」（志村氏）また、導入および運用管理にかかる負荷が少ないというのも同社の要望にマッチしていた。「クラウド型サービスのため、管理サーバなどを立てる必要がなくスケーラビリティに優れ、社内ネットワーク環境を整えるといった運用管理に煩わされることもありません」（武藤氏）こうして同社は2016年1月、CrowdStrike Falconの導入を正式に決定した。

既存の対策をすり抜けた攻撃も検知 運用の大部分は“判断”、これをお任せ

東計電算では、2016年1月末よりCrowdStrike Falconの展開作業を開始。資産管理ツールを使って各端末へソフトウェアを配布した。1カ月ほどで作業はほぼ完了し、本格的な運用をスタートできた。CrowdStrike Falconは非常に負荷が軽いため、端末を利用する上で特に問題は起きていないそうだ。

今回の導入においては、未知の脅威への対策が最大の目的であったが、この点について志村氏は「検知精度は格段に向上しました。これまでのセキュリティ対策をすり抜けていた攻撃なども拾ってくれるようになりましたし、ゼロデイアタックもしっかりと検知してくれています」と高く評価。また運用面についても、日々飛んでくるアラートをマクニカが一旦フィルタリング。重要なものだけに絞り込み、対処法も添えて連絡してくれるため、サイバー攻撃に関する高い知見がなくとも運用でき、最低限の負荷で済んでいるという。

ビジネスへの活用を目指す

武藤氏は今回のCrowdStrike Falcon導入について以下のように総括する。「これまでは攻撃の正体や手法がわからなかったため、脅威もより大きなものに感じていました。しかし今回の導入により、その振る舞いを可視化でき、運用のルールまで含めて適切な対策を取ることができるようになりました。これが最大の成果ではないでしょうか」

なお東計電算では今後、CrowdStrike Falconを自社サービスへ活用することも検討しているという。「折を見て運用担当者に教育・研修を受けさせています。これにより、CrowdStrike Falconに慣れるとともに、ノウハウを蓄積しています。これを積み重ねることで、私たち独自の付加価値に換え、ビジネスとして展開していければよいですね」と長沼氏は将来の展望を語った。

User Profile