Tanium
タニウム
株式会社マクニカ
ゼロトラストセキュリティ実現のためにTaniumの導入によりIT資産を可視化
従来の情報セキュリティ対策は、社内と社外を分け、外部からの侵入を防ぐことに主眼を置いた「境界型防御」が主流でしたが、近年のサイバー攻撃の進化により、その限界が明らかになってきました。こうした状況において、新たに注目を集めているのが“ゼロトラストセキュリティ”です。これは、すべての端末やユーザー、トラフィック等を信頼せず(=ゼロトラスト)、あらゆるアクセスについて検証を行うという考え方で、安全の確認されたアクセスのみを許可することで、強固なセキュリティ環境を実現するものです。
ゼロトラストセキュリティは、現代の複雑化するネットワーク環境において、社内の機密情報を守るために必要不可欠の存在といえますが、その実現にはさまざまなハードルが存在します。そのひとつが、社内に散在するIT資産やパッチの管理で、これは企業の規模が大きいほど、展開する範囲が広いほど困難と言えます。今回は、マクニカがゼロトラストセキュリティへの取り組みの一環として、自律型エンドポイント管理のプラットフォーム「Tanium」 を活用し、グローバル規模でIT資産管理やパッチマネジメントを効率化した事例についてご紹介します。
株式会社マクニカ
IT本部 IT統括部 統括部長代理
引田 則郎
株式会社マクニカ
IT本部 IT統括部 ITインフラマネジメント部
システム基盤・活用推進課
石井 祐太朗
株式会社マクニカ
IT本部 IT統括部 ITインフラマネジメント部長
田牧 啓吾
グローバル規模でゼロトラストを実現する際の課題とは?
26の国と地域、92の拠点でさまざまなビジネスを展開するマクニカ。現在、マクニカでは海外の子会社まで含めて全社が連携する「One マクニカ」の実現を目指し、インフラの整備や情報セキュリティ対策の強化などを進めています。特に情報セキュリティ対策については、サイバー攻撃の脅威が日々増していることから、従来型の境界型防御では守ることが難しいと考え、ゼロトラストセキュリティへの転換に取り組んでいます。
「当社ではプロジェクト『ゼウス』の名のもと、ゼロトラストセキュリティの方針に基づきネットワークの再構築を進めていますが、課題も少なくありません。例えば、これまではIT資産管理を台帳ベースで行っていたため、PCやサーバーなどに関する情報を最新状態に保つことが困難でした。同様にパッチマネジメントについても、どの端末にどこまでパッチが当たっているのか把握するのが難しかったのです」(引田)
こうした課題は多くの企業に共通したものであり、特にグローバルに展開するエンタープライズ企業でよく聞かれます。海外の拠点に本社のスタッフを常駐させたり、頻繁に行き来させたりすることは難しいため、現地のスタッフにIT資産の調達や管理を任せるケースが多く、その把握が難しくなってしまうのです。
さらに、海外のスタッフが本社の言うことを聞いてくれないことも多くあります。
「本社がガバナンスの強化を目指してIT資産の情報を把握しようとしても、現地の抵抗に遭ってうまくいかないケースはよく耳にします。その背景には文化の差異などがあるため調整が難しく、せっかく効果的なソリューションがあっても導入を見合わせることが少なくないそうです」(引田)
これらの課題についてマクニカでは、「One マクニカ」と「ゼウス」の概要について丁寧に説明を行うことで、IT資産管理やパッチマネジメントの重要性を認識してもらっているといいます。
「ガバナンスの効かない状況を放置したままでは、攻撃者に脆弱性を突かれ、重大インシデントを招いてしまうおそれがあります。そうしたリスクや『One マクニカ』『ゼウス』の意義について、彼らに説明しました」(引田)
日本における豊富な導入実績を評価しTaniumを採用
従来、マクニカでは年2回の割合で海外子会社を含む全社にIT資産についての質問状を送り、返ってきた回答を手作業で集計していました。
「しかしその作業には多くの手間がかかっていましたし、年によって端末の台数に大幅な差が出るなど信頼性は低いと言わざるを得ませんでした」(石井)
また、OSの細かいバージョンや各種ソフトウェアのライセンス、ユーザーの数などを把握できないという問題もありました。SOCやCSIRTから脅威の報告が上がってきても、それが自社にとってどれくらいの脅威であるのか瞬時に判断できませんでした。
こうした課題を解決すべく、マクニカはIT資産管理とパッチマネジメントを可視化し健全に管理できるソリューションを求めて検討を開始。ゼウスのプロジェクトがスタートした翌月の2023年5月、「Tanium」ともう1製品に候補を絞り込みました。
「両製品の機能や性能はほぼ同等だったのですが、我が国において大手金融機関や製造業、メディアなど100社以上の導入実績があり、エンドポイント数も約100万に及ぶ点を評価し、Taniumの採用を決めました」(引田)
2023年12月、正式に契約。2024年2月から本格的に導入を開始し、国内については1カ月で作業が完了しました。Taniumは導入しやすい造りで、その作業はスムーズに終わったものの、管理のために可視化が必要な項目や、抽出が必要なデータは何かといった設計の行程に時間がかかりました。
「ただ、Taniumには一般的に必要なデータや重要な脆弱性などがテンプレートとして用意されています。これをベースに当社で必要となる項目を加えていけばいいので、ゼロから取り組む必要はなく、その点は楽でしたね」(石井)
マクニカの場合、国内は一元管理しているため、カスタマイズしたテンプレートを配布すれば済みましたが、海外の子会社についてはベースとなる設計のもと個別に展開を行いました。
「いきなり導入しろと言っても抵抗されるおそれがあるので、どのようなデータが見えるようになるのか、どのような設計をしているのかといったことを説明した上で展開しました。複数のドメインを管理しているような企業なら、同じような手順を踏むのがよいと思います」(石井)
Taniumの導入で苦労した点は?
マクニカがTaniumの導入に際して苦労した点は、主に3つありました。
- 不明なデバイス
Taniumは、検知した端末にクライアントを導入し情報を吸い上げるのですが、その際に「不明なデバイス」と出ることがありました。これは、プリンターなどの周辺機器やテスト用のVM端末などを検知していたのですが、いわゆる“野良端末”とすぐに区別することができませんでした。 - 管理されていないアカウント
海外子会社の中にはアカウント管理を行っていない環境がありました。これは主に部門の業務を個別最適化するための端末だったのですが、可視化するためアカウント管理サーバーが持っているデバイス情報とTaniumのダッシュボードを突き合わせて情報を整理する必要がありました。 - ユーザーアカウントの非表示
ダッシュボードのレポートにおけるユーザーアカウントの情報が、日本の環境では表示されるのに、海外では表示されないという問題がありました。そこで、クライアントの情報を人の手でカスタマイズする必要がありました。
こうした課題は解決されており、現在はダッシュボードをいかに作り込んで自動化するかというフェーズにあります。
「海外は展開の途中ですが、国内で作成したサービスを使うことで自動化できる、作業負荷が軽減できるとなれば、海外のスタッフも助かると思います。今はそのための動機作りも並行して進めています」
IT資産の可視化によりセキュリティとガバナンスが強化
Taniumの導入効果については、第一にIT資産の可視化が挙げられます。これにより未管理だった端末(野良端末)の存在が明らかになり、また、脆弱性を抱えた資産も発見できたため、ガバナンスとセキュリティの両面が強化されました。さらに、端末の棚卸やパッチマネジメントの工数にかかる負荷が大幅に削減されたこと、世間で大きなインシデントが起きたときダッシュボードで状況をすぐに確認できるようになったことも大きなメリットです。
「適用すべきパッチはTaniumで自動配布することができますし、それが全体のどれだけ適用されているのかを、例えば30日から90日といった一定のスパンで見ることができます。また、以前は社内のトラフィックを圧迫しないよう、あるいは業務とバッティングしないように、パッチ適用のスケジュール調整に苦労していました。しかし、Taniumのクラウドを使用することで社内のトラフィックへの影響を気にする必要がなくなり、調整の時間も不要になりました」(石井)
この他、AI事業で使用する端末の要件を向上させるための施策も、Taniumでの配信によって迅速に行えるようになりました。
「以前はスケジュールに半月、配布に1カ月かかっていましたが、これが大幅に短縮されました」(石井)
Taniumの活用で担当者の負荷を削減し、「攻めのIT」に注力
今後マクニカでは、Taniumの可視化の範囲をさらに拡大していきたいと考えています。
「例えば、TaniumのレポートをSOCと連携することでアラートの照合先として使えますし、インシデントが発生した際も迅速に対応できるようになります。また、リスクを未然に防ぐことにも効果があると考えています」(引田)
なお、Taniumは端末がネットワークに接続されることで検知が可能になるため、休眠端末を検知することはできません。そこでマクニカでは、休眠端末がネットワークに繋がった際に中身を確認し、必要なアップデートを行うところまで自動化する方法を検討しています。
「当社のIT本部も他の企業と同様、運用など『守りのIT』に工数をかけられなくなってきています。そこでTaniumを活用し、IT資産管理など必要だけど手がかかる作業をできるだけ自動化し、スタッフが本来すべき『攻めのIT』に注力していきたいと思います。また海外のITに関しても、管理を簡素化するとともに、情報を正確に把握し、必要な手を打っていきたいですね」(田牧)
また、Taniumを社内で広く使えるようにしていくとしました。
「どのような業務でもコモディティな情報は参照できていいと思いますし、効果的なツールがあるなら自分で全社に配信できるプラットフォームにしてもいいと思っています。その一環として、ローカル管理者をどんどん増やしていきたいですね」(石井)
最後にTaniumユーザーとして、他社にはスモールスタートを薦めています。
「まずはお試しとして PoC で使ってみてはいかがでしょうか。Tanium は他のアプリケーションと干渉することもありませんので試しやすいと思います。」(石井)
ご興味のある方は、お気軽にマクニカまでお問い合わせください。
お問い合わせ・資料請求
株式会社マクニカ Tanium 担当
- TEL:045-476-2010
- E-mail:tanium_sales@macnica.co.jp
平日 9:00~17:00