住友ゴムのインシデント対応時間が１３０時間短縮 ～海外拠点の被害状況分析・対応方針策定を高速化～

タイヤ、スポーツ、産業品事業を中核に、グローバル全体で4万名弱の従業員が働く住友ゴム工業グループ。今回は、デジタル企画部で課長を務める松本修平氏に、サイバーインシデントへの対応についてお聞きしました。

 住友ゴムのインシデント対応の歴史は2014年に遡ります。2014年に業務影響の大きいDDoS攻撃を受けたことをきっかけに、CSIRT「Computer Security Incident Response Team」を立ち上げました。設立当初は国内関連会社のITを対象としていましたが、今では国内外の関連会社のITおよびOTの領域をカバーするまでに対象を拡げています。社外との情報交換も積極的に行っており、自社のセキュリティ強化に繋がる知見の収集に努めるなど、CSIRTの活動は進化してきています。

 ただ、POCやインシデント処理は自社で対応できるようになったものの、スキルが不足していると考えている機能があります。それは、インシデントの状況分析です。2014年から現在に至るまで国内外でインシデントが発生しており、分析の能力を向上させることはCSIRTにとって重要でした。

インシデント発生時に効果的だったMpression Cyber Security Service

2014年のCSIRT設立以降、インシデント発生時には各端末などの感染状況を確認する際、外部のフォレンジック業者を利用してきました。しかし、海外拠点でインシデントが発生した際、文化の違いやコミュニケーションの問題から感染範囲の特定に時間がかかる事があり、また現地でフォレンジック業者を見つけられない場合は、日本にデータを送るなどしていたためフォレンジックに多くの時間がかかる事が課題でした。

そこで2018年末に利用を開始したのが、マクニカが提供するMpression Cyber Security ServiveTMスレットハンティングサービスです。

このサービスは、マクニカのセキュリティアナリストが、検知・調査・対応・予防までトータルで、調査、支援するクラウド型のセキュリティサービスです。アジアの脅威インテリジェンスを持つTeamT5社の調査ツールを調査対象のPC/サーバで実行するだけで、平時の監視サービス、インシデント発生時の調査サービス、調査結果・対応策のレポートを提供してくれます。

昨年住友ゴムでインシデントが発生した際、従業員のPCの感染状況を確認するのに効果的だったのがこのスレットハンティングサービスでした。このサービスを利用することによりインシデントレスポンスの時間が飛躍的に短縮したのです。以前はデータ抽出や伝送に大幅に時間がかかっていましたが、現地から分析に必要な最小限のデータを、直接アナリストに送付できるようになったことで、その手間をかなり圧縮できるようになりました。

また、精度の高い分析結果をとても早い段階で得られるようになったため、影響範囲の確認や、他の端末への派生の可能性の判定に、簡便に実施できるようになり、インシデント対応全体の高速化が可能となりました。

インシデント対応にかかる時間を大幅短縮、網羅的な調査が可能に

Mpressionを導入した事で157時間近くかかっていたフォレンジックが、わずか27時間になったという結果が出ています。最大で130時間も圧縮できていることになります。

また、インシデントが発生した際にわずか3日間でレポートを出してもらうことができ、状況分析スキルの不足を補うことができるようになりました。

 コスト面では、IP数による年間契約であるため、費用が定額になり、従来のフォレンジックと比較し予算化が容易になりました。使い勝手の面では、通常運用時に診断ツールとして利用できる以外に、インシデント発生時には、オンライン環境でも、オフライン環境でも利用できるため、制御系(OT)のクライアントにも適応でき、網羅的な調査が可能になりました。また、詳細分析結果がコンソールで確認できることや、マクニカのエンジニアのQAレスポンスが非常に早いことも、使い勝手を上げている要因のひとつと感じています。

 現在、エンドポイントのセキュリティ強化に着手しています。在宅勤務者がPCに感染しても復旧のために出社しなくて済むように、EDRとマネージドセキュリティサービス（MSS）の組み合わせによる遠隔復旧の仕組みをマクニカの支援で8月から進めています。