既存プロキシの老朽化をきっかけにリプレースを検討 OT機器を含むノンブラウザ通信まで含めてカバーできる対策が必要

　1936年10月の設立当初より培った樹脂合成技術を核に、「化学」と「デザイン」のシナジーで社会の要請に応える製品を提供することで、着実な成長を続けてきたアイカ工業。日本初のユリア樹脂接着剤を開発するなど高い技術力を誇り、メラミン化粧板では国内トップシェアを誇る。同社の製品は、住宅、商業施設、公共施設、病院、オフィス、ホテルなどの建築物に加え、自動車、電子製品、化粧品、衣類、靴などさまざまな分野で利用されている。また、ビジネスのグローバル化を推進しているのも特徴で、現在は売上高のうち海外が約半分を占めており、世界13の国と地域に52社のグループ会社を展開している。

　近年、同社はセキュリティ対策の強化を推進しており、多層防御への転換を図るとともに、NGAV（次世代型アンチウイルス）やEDRを導入。さらに、標的型メール攻撃に対する訓練やセキュリティを啓発するeラーニング、担当者による情報共有など、本社とグループ会社、サプライチェーンに向けてさまざまな取り組みを実施してきた。また、クラウド化の普及とともに、外部委託していた一部のセキュリティ対策の内製化も行っている。

　その中で、10年余りにわたり利用してきたプロキシの老朽化に伴い、リプレースを進めることになった。デジタルイノベーション推進部DX支援／情報セキュリティグループの小倉大樹氏は「リプレースに合わせてガートナーが提唱するSSE（セキュリティ・サービス・エッジ）に沿った対策を検討し、これに対応できるソリューションを導入し、セキュリティ対策の統合を図っていこうと考えました」と語る。

　同社はこれまで、外部からの攻撃に対するセキュリティ対策を積極的に強化してきた。しかし、社内から外部への通信については、既存の対策ではカバーしきれないものがあったという。

「製造業である当社には、PCではないOA機器が多数存在します。一般的なOA機器であれば、EDRでC&C通信を検知して止めることができます。しかし、工場の生産システムを制御・運用するOT（OperationalTechnology）機器については、HTTPSを入れたときにC&C通信を検知できる階層がありませんでした」（小倉氏）

　一般的に、プロキシはホワイトリストやブラックリストを基に運用される。同社はここにアウトバンド向けのサンドボックスを導入していなかったため、PC以外の機器については、ノンブラウザ通信やSSL復号しての解析、状況を把握する術がなかった。

「通信先がC&Cの場合は、情報が洩れていることになりますので、本来はしっかり止めなければなりません。幸い、これまではインシデントに至ることはありませんでしたが、このまま放置しているといずれはトラブルに発展しかねないと考えました。そこで、OT機器の通信を含めてカバーできる製品を探すとともに、バラバラに導入してきたプロキシやファイアウォール、VPNについて、統一したポリシーのもとで管理・運用していくことにしました」（小倉氏）

アイソレーションによる完全分離や国内での導入実績、マクニカによる迅速かつ明確な対応を評価

　アイカ工業は、2023年より既存プロキシのリプレースに向けて本格的な検討を開始。7つの製品をピックアップし、60項目について比較を行った。

「選定の際に重視したのがユーザビリティの高さで、具体的にはエージェントレスであること、現行のブラウザをそのまま利用できること、などです。また、当社は多層防御の構成をとっているため、通信元のローカルIPときちんと特定に特定できるよう、XFFヘッダーの検索ができることも求めました。60項目のうち10を必須としましたが、その全てを満たす製品は、『Menlo Security』ともう1製品だけでした」（小倉氏）

　MenloSecurityについては、そのアイソレーション技術が評価された。MenloSecurityのWebアイソレーションは、社内システムとインターネット環境を分離して、無害化するSaaS型のソリューションとして特許を取得している。Web上のコンテンツは一度クラウド基盤上の仮想コンテナで実行されるため、システムに影響を及ぼさない。コンテンツの読込・実行後に表示される結果（レンダリング情報）は、アクティブなコンテンツを含まないため、完全に無害化される。

「国内のグループ会社が本社ネットワークの傘下に入るため、以前は対策から漏れていた端末も含めてWeb環境が分離可能になるのは大きなメリットですね」（小倉氏）

　さらに、ディストリビュータおよび販売会社の対応が大きく違った点も評価のポイントとなった。選定の際、導入後のイメージを明確にしておきたかった小倉氏は、2製品について採用するとどうなるのかという質問を行ったのだが、マクニカからの回答は迅速であり、かつ技術面や運用面から見ても信頼のおける内容であったという。

「特に運用面は大きなポイントで、当社では少ないリソースでセキュリティ対策の管理・運用を担い、グループ会社まで含めた数千名を見ています。そのため、今以上に負荷が掛かるような事態は避けたいと考えました。一般的にディストリビュータは、導入はしても運用はしないため、質問をしても明確な回答が返ってきません。この点、マクニカはSEの技術力が高く、そこまでしっかりカバーしてくれるので、安心して任せられると思いました。また、当社は以前からマクニカの提供する『MacnicaASM』や『SecurityScorecard』を利用しており、セキュリティベンダーとしての実績があったことも信頼感につながりました」（小倉氏）

　国内での実績が豊富だったことも後押しとなり、2024年10月、同社はMenlo Securityの採用を決定。2025年1月より情報システム部門のほか、他部署やグループ会社のキーマンなどを対象にスモールスタート（200ユーザー）。2月後半には本社全体へと展開し、同年春にはグループ企業まで含めた全ユーザーへの展開を完了している。

OT機器の通信の確実な把握が可能に EDRの検知をすり抜ける脅威も「HEAT Shield」が阻止

　アイカ工業では現在、本社ネットワークの傘下にあるグループ会社4社を含め、1,800のユーザーがMenloSecurityを利用している。グループ会社はそれぞれ異なる認証基盤を採用しているため、本社はSAML認証によりSSO、グループ会社はIDとパスワードでログインするという運用だ。セキュリティポリシーについては、会社別のほか、業務の役割でもアクセスの許可・不可を分けている。また、今回のリプレースを機に、既存プロキシのカテゴリーについても精査。現場からのヒアリングをもとに、ユーザーに紐づくサイトの開放基準を明らかにした。

「ポリシー数は、組織や役割によって制御をしており、50くらいになります。また、IT機器とOT機器の通信は通信経路振り分けの専用機器を使用し、そのチューニングに時間をかけました」（小倉氏）

　MenloSecurityの導入効果としては、課題としていたOT機器の通信の把握が可能になったことが大きいという。各工場には長い歴史があり、現場の人間でもよく分からない古い機器も存在している。同社では以前より統制を掛けてはいたものの、すべての機器を確実に把握できていたわけではなかった。

「こうした懸念が解消され、安全性が担保できるようになりました。これまでのOT機器のセキュリティ対策は、機器を検知して止めるの繰り返しでしたが、100％の洗い出しは困難です。この手間を省いてくれるだけでも、運用面の負荷を大きく軽減してくれています」（小倉氏）

　危険な通信をしっかり止めると同時に、その理由を容易に明確化できることも大きなメリットだ。

「プロキシが通信を止めると現場から理由を説明するよう求められます。しかし、既存のプロキシは止めた理由や内容を具体的に説明してくれるものではありませんでした。そこで私がいちいち調査し、確証を得てからユーザーに伝えていたので、少なからず負荷になっていましたし、私個人に業務が依存する形になっていました。この点、MenloSecurityは止めた理由や何が問題かを明確に教えてくれるので、調査の手間が不要。ユーザーに納得してもらうまでの時間も減りました」（小倉氏）

　なお同社は、アイソレーションと合わせ、検知を回避する脅威（HEAT）に対応可能な「HEAT Shield」も採用している。これはユーザーがアクセスするWebサイトのコンテンツをリアルタイムで再現・分析し、脅威を判定するもの。危険なサイトと判定した場合、書き込みやサイトへのアクセスを禁止し、認証情報の窃取などを防ぐことができる。

「実際、EDRの検知をすり抜けた脅威をHEAT Shieldが止めてくれた例もあり、これだけでも効果があったと感じています」（小倉氏）

ログを活用し通信のさらなる可視化に取り組む FWaaSやVPNについてもオプションの利用を検討

　今後についてアイカ工業では、Menlo Securityで取得したログの活用を検討しており、既に他のセキュリティ機器のログなどと組み合わせることで、怪しい通信の可視化に取り組んでいる。

「FWaaS（Firewall as a Service）やVPNについて、Menlo Securityが提供するオプションにリプレースすることも検討しています。また、モバイル携帯の通信もカバーすることで統合管理を進め、運用の負荷をさらに軽減していくことを検討しています」（小倉氏）

User Profile