Innovation Leading Company

日商エレクトロニクス株式会社

Managed Cyber Gate、Vectra Networks社製Xシリーズ、Sシリーズ 自社導入事例

企業名:日商エレクトロニクス株式会社

【特別企画】
柔軟性高いSOCと機械学習がもたらす速攻検知
- Managed Cyber GateとVectra Networks社製品の導入事例 -

導入の背景情報漏えいなど高まる脅威。いかにガバナンスを徹底するか

日商エレクトロニクスの「情報企画部」は、いわゆる企業の「情報システム部門」だ。日々巧妙化するセキュリティの脅威と向き合っている。
情報企画部ではインシデントの芽を事前につみ、いかに被害を抑えるかが重要な「ミッション」である。とはいえ、本業はシステム構築と運用が中心だ。同社のコーポレート本部情報企画部で部長を務める岡田晃司氏は「日々増大する脅威やログを目の前に、社内のリソースだけで対応することに、やや不安を感じていた」という。

image

日商エレクトロニクス株式会社
コーポレート本部 情報企画部長
岡田 晃司

セキュリティ情報を常時キャッチアップし、膨大なログと照らし合わせてインシデントを見つけだす負荷は決して小さくない。もし小さな異変を見逃し、対処が遅れると大きな被害へと発展する恐れもある。
しかも、脅威は外部からの攻撃だけとは限らない。「内部の脅威」もある。内部犯行による情報漏えいは、大規模な事故につながるリスクが高い。そのため同社では、グループ会社から求められるコンプライアンスの基準も高まっていたという。
もちろん「外部の脅威」も無視できない。2017年に大きな話題を呼んだランサムウエア「WannaCry」は記憶にあたらしい。事前の注意喚起で、壊滅的な被害は回避されたが、それでも国内企業において被害が発生した。
幸い同社において被害は発生しなかったが、「未知の攻撃も含め、巧妙な攻撃に対し、いち早く脅威を発見して対応できるソリューションの必要性を強く感じた」と岡田氏は振り返る。


また同社の一部の事業部門では、センシティブな情報を扱う顧客企業から、厳しいセキュリティ要件のもとに業務を受託することが多い。このような業務では情報セキュリティ対策における膨大なチェックリストに対し、すべてクリアすることが求められる。
こうした問題をクリアし、「胸を張ってセキュリティをアピールできるよう、十分な対策を講じることも取り組むべき課題のひとつだった(岡田氏)」という。

導入の経緯決め手は既存システムを生かせる「柔軟性」と「スケーラビリティ」

同社で実際にセキュリティ対策ソリューションを導入する際には、既存環境をいかに変更せずにシステムを導入するかが重視された。SOCサービスもさまざまな企業より提供されているが、利用環境が制限されることも少なくない。
特に同社では、IT商社として新製品をいち早く利用検証するする機会も多いが、「新製品だからセキュリティ管理ができない」というわけにもいかない。さらに以前より利用している機器が、独特の形式でログを生成していた。
そこで岡田氏は、同社のサービス事業推進部が提供する SOC サービス「Managed Cyber Gate(以下、MCG)」を導入することを決定した。理由のひとつが、既存環境へ対応する柔軟性だ。300種類のログ形式に対応しているだけではなく、標準で対応していないログ形式でも柔軟にカスタマイズできることがポイントとなった。
「どのような機器でもきちんとログを収集、管理できることが重要だった」と、岡田氏は導入の決め手を語る。導入に際してサーバー側の設定を変更する作業もわずかで済んだという。
また、導入当初は特定のログのみ監視を行うなど、スモールスタートが可能な点もポイントになった。「特に重要なログから監視をスタートし、柔軟にスケールアップできることで、リスクとコストのバランスを取ることができるメリットも魅力的だった(岡田氏)」。

導入の効果専門家の見地から脅威トレンドを分析、問題解決までサポート

では実際に導入したことで、どのような効果があったのだろうか。岡田氏は「専門家による即時対応のアラートや月例リポートなど詳細なリポートはもちろん、脅威のトレンドや第三者の立場による分析、提案などが役立っている」と充実したリポートを高く評価している。
「従来はセキュリティへの対応で消費していた社内リソースを削減し、ほかの業務に割り当てられるようになった(岡田氏)」。情報企画部としても、時間的な負荷が下がっただけでなく、セキュリティの専門家に業務を任せることで安心感が増したとメンバー間で話しているという。
単なる問題通知だけではなく、問題の解決に向けたサポートを行っていることも安心感を増すひとつの要因となった。この点について、サービス事業推進部で SOC 業務を提供する小川孝氏は、「MCG によるサービスは、単なるインシデントの通知にとどまらない。ログの発生傾向から考えられる事象や確認すべきポイントを参考情報として伝え、問題をクローズすることを視野に支援している」と特長を説明した。
また副次的な効果についても触れた。「問題が判明した部署にヒアリングをかけることで、該当部署でも『情報企画部はIT上の怪しい動きをいち早くキャッチする』という認識が浸透した(笑)。セキュリティ意識の向上にも役立っている(岡田氏)」。

導入の経緯2NGFW導入下でも避けられない侵入。ネットワーク可視化にあらたな一手

「SOC」の導入によって、内部犯行の脅威はもちろん、マルウェア対策の強化をもたらし、以前から導入している次世代ファイアウォールとの多層防御も実現した。
しかし、ミッションクリティカルな環境では、こうした多層防御さえかいくぐる「未知のマルウェア」が脅威となり、対策が必要だと岡田氏は指摘する。
ランサムウエアの「WannaCry」は、国家が開発したエクスプロイトが盗みだされ、利用されたとも言われている。こうした未知の脅威が侵入した場合も、ネットワーク内の挙動を監視し、インシデントを見つけ出す必要がある。またモバイル端末やネットワーク機器、IoT製品などログが残らない機器も増加しており、広くネットワークの挙動を監視できることが求められていた。
サイバーセキュリティ対策では、脅威インテリジェンスの活用が叫ばれているが、「多くの情報で溢(あふ)れており、活用が難しいと感じていた」と岡田氏は語る。
またセキュリティ製品も得手不得手があり、導入に迷った。ウェブやメールなど、保護する対象領域はもちろん、ベンダーが持つ情報ソースの地域性や脅威の評価方法に違いなどもある。
そこで、岡田氏はこれらに左右されず、あくまで内部ネットワークで発生していることを可視化することに特化した同社の取り扱い製品である「Vectra Networks社製品」を内部で活用するアイデアに結びついたという。

導入の効果2リッチなリポートでリスクを可視化。肝心な初動対応にも強い味方

導入はネットワークのミラーポートに接続するだけとシンプルだ。すべてのパケットを対象としており、いわゆる「North-South」間の通信だけでなく、「East-West」間の通信にも対処できる。OSやアプリ、デバイスなどにも依存しない。機械学習やデータサイエンスに基づくアルゴリズムにより、攻撃テクニックの特長などから自動検出するため、シグネチャーやルールの設定も不要だ。
Vectra Netwarks社製品を導入した際、現場で監視業務を行う立場の小川氏も、その効果に驚いたという。「MCGでログを収集していないホスト間同士や、ログ収集対象機器を通らない通信の異常についても傾向分析まで行ってくれるので、初めて使った際、SOCのアナリストが 1 人増えたかのような印象を持った(小川氏)」。

image

日商エレクトロニクス株式会社
サービス事業推進部
セキュリティサービス課
課長補佐 小川 孝

Vectra Networks社製品では、ネットワークの通信傾向や挙動を24時間監視し、自動でアラートを送信することが可能だ。そのためSOCではアラートをトリガーとするインシデント分析が行える。小川氏によれば、MCGにおいてもアナリスト業務の一部が自動化され、インシデント検知および事後調査能力の向上が図れたという。
またトラフィック監視では、監視対象の範囲が大幅に拡大するが、Vectra Networks社製品は分析結果の要点のみを報告できる。そのため、アナリストの監視負荷を増加させることもない。ログ監視で問題となりやすい、大量のログ情報(ノイズ)に重要な情報が埋もれる事態を起こしにくいこともメリットだと小川氏は説明する。
リポートを受け取る側の岡田氏も効果を実感しており、「時系列のデータが示されるので、Lockheed Martinが提唱したいわゆる『サイバーキルチェーン』の流れを俯瞰(ふかん)できる。インシデント発生時を想定した場合、特に調査の初期段階に力を発揮すると考えている」と導入の手応えを語った。またリッチなリポートの存在も大きいという。「このようにわかりやすいデータがあれば、経営層に対する説明も迅速かつスムーズに行える(岡田氏)」。

将来の展望MCGとの連携や相関分析 さらに高まる監視精度

企業において不足するインシデント対応へのノウハウやリソースの不足。深刻化する脅威の中、対応へのスピード感が重要となる。
岡田氏は両製品の導入に至った経緯についてあらためて振り返り、「われわれは日本CSIRT協会に加盟して情報収集と意見交換を行っている。その中でセキュリティに関しては情勢の変化が大きいと学んだ」と語った。
「社内リソースが不足しているならば、外部のプロフェッショナルにお任せする方が、より効果的な対策を打てることをあらためて実感した」と導入後の感想を話す。
次なるステップとして、現在活用している MCG やVectra Networks社製品との連携や相関分析を進め、より高い精度の監視により社内のセキュリティを高めていきたいと考えているという。
一例としては、Vectra Networks社製品が送信したアラートに含まれる対象ホストを要注意ホストとしてMCGに自動登録し、監視精度を向上させるといった連携を計画している。「MCGだけでもVectra Networks社製品だけでもない。それぞれに強みがあり『共存共栄』ができるのも大きなポイントと感じる(岡田氏)」。
終わりのないセキュリティ対策だが、同社では今後は、クラウドにおけるセキュリティ対策の強化として、近々「CASB(Cloud Access Security Broker)」についてもPoCを行う予定だ。
「ログが増加することも考えられるが、どのようなログも対応できるし、MCGはスケーラビリティがあるので安心だ。シャドウIT対策も含め、より安全なセキュリティ環境を引き続き構築していきたい」と今後の抱負を語り、笑顔でインタビューを終えた。

日商エレクトロニクス株式会社 Vectra Networks社製品導入事例 PDF版

image

本ページでご案内している事例の内容をPDF形式でダウンロードしていただけます。

日商エレクトロニクス株式会社
Vectra Networks社製品導入事例 PDF版

関連情報