業務上、広く世界中のWebサイトへのアクセスが必須 Webセキュリティ対策が喫緊の課題に

1996年に設立された東京海上ディーアールは、東京海上日動火災保険をはじめとする東京海上グループの一員であり、現代の企業が抱えるさまざまなリスクを的確に解決するエキスパート集団である。同社は各種研究機関と連携したり、事故や災害のデータベースを活用したりすることで、リスクの実態の把握から改善に至る提案まで、企業のニーズにマッチした高度で専門性の高いコンサルティングを提供している。

リスクコンサルティングという業務の特性上、サービスの質を高めるためには、さまざまな分野の情報や知識を常に収集し活用することが不可欠である。この点について経営企画部 ICT企画ユニット ユニットリーダーの関口幸一氏は「当社のサービスメニューの中には海外での危機管理や情報セキュリティに関するコンサルティングなども含まれます。当然、こうしたサービスを提供するためには最新の情報をいち早く入手しなければなりませんから、多少のリスクを冒してでも世界中のWebサイトにアクセスし、広く情報収集を行う必要があるのです」と説明する。

しかし、その際に自社がマルウェアに感染してしまっては論外だ。今までも同社はさまざまなセキュリティ対策を講じ多層防御を実施してきた。さらに、マルウェアの侵入を100％防ぐことはできないという前提のもと、何重にもデータのバックアップを取得。加えて、役員や派遣社員も必ず受講するセキュリティ研修を実施し、サイバー攻撃を受けたことを想定した実戦さながらの訓練を毎月行ってきた。経営企画部 ICT企画室 主席研究員の菊地隆司氏は「ほぼ毎月のようにマルウェアを検知しており、9割がWebサイト経由でした。そのうちの7割が海外サイトでしたが、有名な企業の公式サイトやニュースサイト、天気予報サイトなど、特に危険があるとも思えないサイトに仕込まれていた例もありました」と振り返る。

そこで同社は、物理的に分離されたネットワークからWebサイトへアクセスする、Web閲覧専用の端末を10台程度用意した。しかしこれらの端末は使うたびに手続きを踏む必要があり、その煩雑さが嫌われて利用率は低かったという。

「脅威がより高度化・巧妙化している昨今、既存の対策だけではWebサイトからの脅威を完全に排除することは難しく、早急に抜本的な対策をしなければ、マルウェアに感染するのは時間の問題と危機感を抱いていました」（関口氏）
コンサルタント業にとって社内に蓄積されるデータは命ともいえる。特に同社の場合、写真や動画、地図などに加えてシミュレーションのデータなどもあるため、保有するデータは膨大な量になる。これらのデータはコンサルタントのノウハウそのものであり、ほかで代替できるものではない。
「仮にこうしたデータがランサムウェアによって暗号化された場合、業務は完全にストップしてしまいます。万が一データが失われてしまったら、莫大な損害につながることでしょう」（関口氏）

侵入前に脅威の「可能性」を排除する独自技術と利便性を損なわない点を評価

東京海上ディーアールはこうした状況を鑑み、より抜本的なセキュリティ対策の検討を開始した。具体的な製品の選定に入ったのは2016年後半だったが、その経緯について菊地氏は「社内システムのログ解析によれば、Webフィルタリング製品が安全と判断したサイトからもマルウェアが検知されており、従来型の対策では100％侵入を防ぐことは不可能だと考えました。そこで発想を変えて、侵入した脅威を検知し除去するのではなく、脅威が侵入してくる可能性自体を排除する手法を探すことにしたのです」と語る。
同社はこの段階からWeb上のコンテンツ自体を分離・無害化し安全を確保する「Menlo Security」独自のIsolation技術に注目しており、2017年2月に行われたセミナーに参加。その概要に触れたことで、Menlo Securityがベストな選択だという思いを強くしたという。

このほか、仮想ブラウザやVDIなども選択肢に上がったが、これらはシステムを大きく変更する必要があり、構成が複雑になる。また、ファイルをWebサイトからダウンロードする際の手順が複雑で、利便性に劣るというネックもあった。

「先に物理的なWeb分離が浸透しなかったのは、利便性が低かったという理由もありましたので、ユーザの使い勝手はできるだけ悪くしないことが重要と判断しました。その点、Menlo Securityは利便性をほとんど損ないません。また、SaaSなので導入が容易で、他のソリューションに比べて運用を含めたトータルコストが安く済みます。加えて、自動的に最新の状態で利用できる点もメリットです」（菊地氏）
同社は、2017年8月下旬からMenlo SecurityのPoCを開始。実際に社内ネットワークと接続し、一部の端末を使って業務を想定した100項目以上のテストを実施した。これにより、問題なく利用できることが確認できたため、10月に正式に採用を決定している。

安全・安心が向上し本来の業務に集中できるリスクが可視化され効果測定が可能に

東京海上ディーアールでは、2017年12月に全社へのMenlo Securityの導入を完了。これに合わせ、社内へ向けてインターネット閲覧時の操作の変更点や影響などの説明を行った。
「Web経由のマルウェア感染のおそれがない環境が実現したことで、ユーザは安心してさまざまなWebサイトへアクセスできるようになり、本来の業務に集中できるようになりました」（菊地氏）

取材時点で導入から2年が経過しているが、関口氏は「マルウェアの多くをMenlo Securityによって社内へ侵入する前に排除できています。おかげでエンドポイントでの検出は年に数件になり、今年度はゼロになりました。実害も一切出ていません。メンテナンスフリーのため運用面での余計な負荷がなく、普段は存在を意識することもありません」とその効果を語る。

さらに、リスクごとのサイトアクセスやマルウェア無害化の状況などが可視化された点も大きいという。

「Menlo Securityのレポートによってリスクの可視化が実現。これを時系列で見ることで変化を知ることが可能になり、効果測定ができるようになりました。結果は毎月経営陣に報告していますが、その作成も月に15分程度の作業で済んでいます。さらに、その可視化された状況をベースに、能動的な対応が行えるようになったことも大きなメリットです」（関口氏）

Menlo Securityを核に今後のセキュリティ対策を検討

東京海上ディーアールは、Menlo Securityの導入によりWebのセキュリティ対策はひと段落したと考えている。
「メールにおいてもURLリンクへのアクセス時はブラウザが立ち上がりMenlo Security経由で無害化閲覧ができるので安心です。今後はMenlo Securityを核にして、これまでのセキュリティ対策のリプレースを考えていきたいと思います」（関口氏）

そしてマクニカについては「世界中のさまざまな分野の製品に精通しており、これらの相性なども熟知しています。これからもそのノウハウに基づいたベストな提案をしてくれるとありがたいです」と期待を語ってくれた。

User Profile