運用負荷をかけることなく、24時間365日エンドポイントセキュリティ強化を実現

「24時間365日体制で海外も含めたグローバルの端末を同じ水準でサイバー攻撃を監視できる。分析は専門家に任せて何か起こったとしても止められる環境ができた。」株式会社ユーシン精機 IT推進部 杉本 健太郎氏、達富 弘和氏
POINT
  • 次世代アンチウイルス+EDR製品で工数をかけず、見えなかったセキュリティ脅威を可視化
  • MDRサービスにより、24時間365日体制で全世界対象のEDR運用を可能に

ユーシン精機の事業概要

株式会社ユーシン精機(以下、同社)は、サーボモーター駆動による高速化やタッチパネル式コントローラによる直感的な操作など、さまざまな先進技術を業界に先駆けて採用したプラスチック成形品取出ロボットのリーディングカンパニーだ。国内だけではなく、米国や中国など世界各地で事業を展開している。最近ではクラウドとAIやIoTを活用してお客様の成形ラインについて見える化を進めている。また、予知保全や高品質なサービス提供にも活用している。

同社では、VMware社の次世代アンチウイルス+EDR製品「VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以降Endpoint Standard)」とデジタルハーツ社が提供するEndpoint Standardの運用監視業務を肩代わりするマネージドサービス「DH-MDRサービス for CB Defense」(以下、MDRサービス)を利用して自社ならびに海外を含めたグループ会社のエンドポイントセキュリティ強化を実現している。同製品を選択した理由と活用状況について同社IT推進部の杉本氏、達富氏にお話を伺った。

サイバー攻撃の増加にともないエンドポイントセキュリティ強化を検討

近年では高度な標的型攻撃をはじめ、さまざまな不正アクセス事件などサイバー攻撃が増加している。杉本氏は「従来型アンチウイルス製品を導入し、従業員への教育でセキュリティ対策を実施していました。しかし、他社などのマルウェア感染の話や業界団体からのサイバー攻撃への注意喚起を耳にすると、従来の方法では不十分と考え、セキュリティ強化は急務だと感じるようになりました」と当時を振り返る。

杉本氏、達富氏が所属するIT推進部では少数精鋭で、海外グループ会社を含めた全社のITに関する企画・開発・構築・運用などの業務はもちろん、情報セキュリティに関しても同部門が担当しているという。そのため、セキュリティ対策において各会社の運用まできめ細かく確認できているとは言い難かった。限られた人数で、グループ全体に対して24時間365日体制の監視をするのは難しかったといえる。「セキュリティ強化をなるべく少ない工数で簡単に実現できる方法を考える必要がありました」と杉本氏は説明する。

次世代アンチウイルス+EDRとMDRサービスにより、エンドポイントセキュリティを強化

同社の経営層はサイバーセキュリティを事業継続に必要な要素と認め、対策を後押ししていることもあり、エンドポイントセキュリティ強化を実施することになった。従来型アンチウイルス製品ではファイルレス攻撃や未知のマルウェアを見つけ出すことは困難だったこともあり、次世代アンチウイルス製品の導入を検討することになった。次世代アンチウイルスでは、機械学習技術などの人工知能(AI)を用いて解析したりすることで、既知だけでなく未知の脅威にも対策できるからだ。

また、「どれほど防御を固めても、侵入を100%防ぎきることは困難だ」という事実を踏まえ、マルウェアの侵入をいち早く検知・可視化するとともに、迅速な対応を可能とするEDR(Endpoint Detection and Response)機能も必要不可欠と考えた同社では、次世代アンチウイルスにEDR機能が統合された製品の導入を決めた。各社の製品を比較検討した結果、次世代アンチウイルスにEDR機能が統合されたEndpoint StandardならびにMDRサービスを一緒に提案したサイバネットが最終的に選ばれた。

選定に関して杉本氏は、「次世代アンチウイルスにEDR機能が統合された製品であることを前提条件にする一方、海外にも展開することを踏まえてグローバルで実績があること、さらには『限られた工数で簡単に管理できる』といった運用面において焦点をあてました」と補足する。その結果、次の点がEndpoint StandardならびにMDRサービスの採用の決め手になったという。

柔軟なポリシー設定とグローバルでの実績豊富

全社やグループに対し単一のポリシーではなく、国ごと、子会社ごとに複数のポリシーを適用することが可能だったことがEndpoint Standardの決め手の一つだった。また、海外グループ会社への導入も予定していたため、グローバルでの豊富な実績も導入を後押しした。

「検知したあとの対応をサポートする」MDRサービス

Endpoint Standardを活用すれば、PC内のプロセスに疑わしい挙動が検知された場合、事前に設定した閾値に基づいてさまざまなアラートが届くことになる。インシデントが発生した場合でも、Endpoint Standardがマルウェアのブロックや感染PCのネットワーク隔離を行うことが可能だが、アラートの緊急度によっては、ユーシン精機にてどのように対処するのか判断しなければならない。しかし、前述したリソース不足に加えて、標的型攻撃に対するセキュリティ知識が求められるため、スムーズな運用ができるのかは不安だったという。

その不安を解消したのが、MDRサービスだった。Endpoint Standardからアラートを24時間365日体制で受け付けて分析し、危険性の高いもの、重要なものがあれば端末の隔離まで同社に代わって実施する。さらに、インシデントの脅威除去、今後の回復(再発防止)支援まで日本語によりリモートで作業代行までしてくれるのが魅力的だったという。


Endpoint StandardとMDRサービスによる運用図

サイバネットの適切なサポートにより、3ヶ月で全社展開が完了

Endpoint Standardはクラウド型サービスとして提供されるため、従来型アンチウイルス製品のように管理サーバーや中継サーバーは不要だ。同社は導入を決めてから、わずか3ヶ月で海外を含めた全社展開を完了し、運用を開始した。これにともない、従来型アンチウイルス製品はアンインストールした。

全社展開を担当した達富氏は「設計段階でのポリシーやフロー策定時にサイバネットによるサポートが非常によく、適切なアドバイスが得られた」と当時を振り返る。誤検知などのノイズを排除していくチューニング作業では、サイバネットの協力を得ながら、まず基幹系アプリなど重要なものから検証を始め、全社展開を進めつつ現場で使うアプリについても検証を重ねたという。出てきたアラートの中から正規のアプリによるものはホワイトリストに追加し、適正なアラートのみが出るよう、MDRサービスとともに調整していった。

運用開始後の最初の1カ月は数百件のアラートが発生していたが、Endpoint StandardとMDRサービスのチューニングを重ねた結果、今では1/5程度にまで減少し、本当に対処すべきアラートのみに注力できるようになった。加えてMDRサービスから定期的に送られてくるレポートを読み解くことで、自分たちのセキュリティレベルも高まるという効果が得られた。

運用負荷を増やすことなく、グループ会社を含めたセキュリティ状況全体を可視化

本格運用を開始してから半年たった今も、同社では安定してEndpoint Standardを運用している。杉本氏は「これほど工数をかけずに、セキュリティ状況全体が可視化できるようになるとは思っていなかった。満足度はとても高い」と、Endpoint Standardはもちろん、MDRサービス品質を評価している。

従来型アンチウイルス製品ではアラートが出ると、社員に連絡を取ってネットワークからの切断を依頼する一方、その内容を一つ一つIT推進部が確認して対処するといった作業が必要で、1つのアラートの対応に1時間程度はかかっていた。アラートの内容を読み解くにもさまざまなナレッジが必要となるため、セキュリティ対応以外にも多くの業務を抱えるIT推進部にとって負担となっていたという。

Endpoint StandardとMDRサービス導入後は、検知したインシデントをリスクに合わせてレベル分けし、内容によってはあらかじめ定めたフローに沿って遮断などの対応まで実施してくれる。「セキュリティレベルごとに情報やレポートが提供され、われわれが判断を下すべきものだけが上がってくるため、非常に楽になった」と達富氏。各国の状況を本社側で一律に把握し、必要に応じて対処を実行することも可能になったという。

「今までできなかったことができるようになったと感じている。海外も含めたグローバルの全端末を、24時間365日体制、同じ水準で、ファイルレス型攻撃も含めて監視できる。分析は専門家に任せ、何か起こったとしても止められるという環境ができた。もし仮に同じことを自分たちでやろうとしていたら、とんでもない工数がかかっていただろう」と杉本氏。

今後の展望

Endpoint StandardならびにMDRサービスの導入によって、運用負荷をかけることなく、かつ今まで管理できていなったグループ会社を含めてエンドポイントセキュリティの強化を実現できたユーシン精機。Endpoint Standardの導入前に実施した多要素認証の導入に加え、中長期的なロードマップを描いて継続的に全体のレベルアップに取り組んでいくという。

最後に今回のプロジェクトをサポートしたサイバネットについて、「導入検討の段階から技術担当者にもはいってもらい、本意をくみ取った提案をしてもらい非常に満足している。今後もセキュリティ強化を図る際には、ぜひサイバネットにも提案ならびに支援を期待したい」と笑顔で締めくくった。

株式会社ユーシン精機: https://www.ype.co.jp/

ご相談、ご質問はこちら
お急ぎの場合はこちら
03-5297-3487
受付時間 平日9:00-17:00
※弊社特別休業日を除く
製品資料、導入事例はこちら
価格お問い合わせはこちら
まずはお試しください

 



お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 TEL: 03-5297-3487 (平日 9:00-17:30)
お問い合わせ全般  資料ダウンロード