次世代アンチウイルスとEDRの多層防御で
新たなセキュリティの脅威に迅速に対処
SOCサービスによって社内の負荷も軽減

技術推進部 情報システムグループ グループマネージャー 冨永博幸氏　小清水司氏

ファイルレス攻撃など新たなセキュリティの脅威に対処するため、ゼロトラストを前提に侵入後の攻撃を検知するEDRの導入を決めました。株式会社トランザクション・メディア・ネットワークス　冨永 博幸氏

決済インフラの提供におけるセキュリティ対策の重要性

2011年に国内で初めてクラウド型電子決済ソリューションを商用化して以来、キャッシュレス決済インフラのプロバイダーとして成長を続ける株式会社トランザクション・メディア・ネットワークス。同社が開発した電子マネーやクレジットカード向けの決済端末「TMNゲートウェイ」は、コンビニ、スーパー、ドラッグストアなど幅広い業態で採用され、2021年3月時点で累計設置接続台数は約700,000台にまで拡大している。

決済インフラの提供における万全のセキュリティの確保を重要な課題と位置付ける同社では、次世代アンチウイルス＋EDR製品「VMware Carbon Black Cloud Endpoint™（以下、Carbon Black Cloud）」を900台分のPC端末とVDI環境に導入し、社内のエンドポイントセキュリティの強化を実現した。

その導入の背景と成果について、技術推進部 情報システムグループ グループマネージャーの冨永博幸氏と、同グループの小清水司氏にお話を伺った。

新たな脅威への対処に向けて次世代EDR製品の導入を決断

需要が高まるキャッシュレス決済インフラを提供する同社にとって、セキュリティの強化は重要な課題だ。そのため、商用サービスではPCI DSSの準拠認定を取得するなどの対策をとっているが、同様に社員が利用するPC端末のセキュリティ対策にも力を入れている。これまでもすべてのPC端末にアンチウイルス製品を導入していたものの、「運用の中で攻撃のすり抜けや、ファイルレス攻撃など新たな脅威への対策が課題となっていました」と小清水氏は振り返る。

もう1つの課題は、セキュリティの運用管理だ。これまで利用してきたアンチウイルス製品はWindows 10のメジャーアップデートに追随できず、端末に緊急パッチを適用しなければ対処ができなかった。この他にもアンチウイルス製品の不具合によってPCが停止するなど、ユーザービリティの低下も顕著となり、この運用管理が情報システムグループの限られた要員の大きな負担となっていた。

こうした中、2020年4月に発出された新型コロナウイルス感染症対策の緊急事態宣言を受けて、同社は全社規模で在宅勤務にシフトする。しかし、既存のアンチウイルス製品では、社内ネットワークを介さなければパッチの適用ができなかった。そこで同社は、社外からでも管理できるクラウド型のソリューションに着目。新たな製品を検討する中で、ネットワークの入口で脅威の侵入を防ぐ従来型のEPPの機能だけでなく、ゼロトラストを前提に侵入後の攻撃を検知するEDRの機能も実装するべきという判断に至った。

SOCサービスの充実度を評価しCarbon Black Cloudを採用

製品の検討にあたって同社が掲げた要件は、既知・未知の攻撃に対応できる防御力と、いざという時に迅速な対応を行えるEDRの機能を備えていることだった。加えて、SOCによる運用サービスも必須とした。複数の製品を比較した中で、最終的に選択したのがCarbon Black Cloudだった。採用の決め手は、Carbon Black Cloud が同社の掲げる要件を満たし、導入支援を依頼したサイバネットからのSOCサービスの提案も他社以上に充実していたことにあった。

「私が以前の職場でEDR製品を導入した経験から、現在のリソースではSOCがなければ運用が難しいと感じていました。サイバネットからの提案には、プロキシやファイアウォール活用のほか、ネットワークセキュリティ全般のサポートも含まれていました」（冨永氏）

また、小清水氏は導入パートナーとしてのサイバネットについて、SOCに関する提案以外の点でも次のように評価する。 「導入コストが比較的安価で、製品評価においても客観的な比較資料を提供してくれるなど、信頼の置けるパートナーだと判断しました。サイバネットのサポート技術者は製品を熟知しており、Carbon Black Cloudの操作方法などを自由に質問できることも魅力でした」

サイバネットのサポートによってPoCやエージェント配布を短期間で実施

製品評価の過程では、2020年5月にテスト機を活用したPoCを約2週間で実施。十分な性能が確認できたことから、7月に採用を決定し、早くも7月末には600台のPC端末への導入を終えた。さらに10月には300台のVDI用のライセンスを追加購入して、サーバー環境に導入している。

「PoCでは、影響範囲の大きさを考慮して、取引先との対面に立つ機会が多い営業や開発など7つの部門で実施しました。その際、サイバネットからは当社が独自開発したプログラムやモジュールが“攻撃”と誤検知されないように、通信を許可するための設定などでサポートを受けました」（小清水氏）

端末へのエージェントの配布は、Active Directoryのスタートアップスクリプトを利用。ユーザーが社内ネットワークにアクセスして端末を再起動すれば、自動的にエージェントがインストールされるようにした。「エージェント展開についても、Active Directoryを用いた方法をサイバネットと議論し、複数の方法を試しながらスタートアップスクリプトを使う方法に決定しました」（小清水氏）

こうしたPoC、エージェントの配布、本稼働までの一連のプロセスは、すべてリモート環境の中で行われ、フルクラウドのメリットが最大限に活かされている。これにより短期間でスムーズに在宅勤務に移行できたことは、経営陣からも高く評価されたという。

SOCチームのサポートによって運用面での社内負荷が軽減

Carbon Black Cloudの導入によって、同社は未知のサイバー攻撃が社内ネットワークに侵入しても、素早く攻撃を検知して拡散を防ぐ体制を確立することができた。

「導入から1年近くが経過した現在、緊急度の高い重大なインシデントは発生していませんが、SOCチームから報告されるレポートを見ても、ファイルレス攻撃は確実にブロックできています。従来のアンチウイルス製品では難しかった脅威に対する多層防御が実現し、セキュリティレベルは飛躍的に向上しています」（小清水氏）

運用面での負荷軽減も大きなメリットだ。これまではウイルスを検知すると、情報システムグループのメンバーが感染したファイルを直接確認して端末から削除するなどの作業に追われていた。現在は攻撃を検知するとすぐにSOCチームが対処し、その結果報告を受けるだけだ。

「SOCチームの技術レベルは高く、誤検知もほとんどありません。これにより、セキュリティ業務に関する自社要員の稼働率は大幅に減っています。また、Carbon Black Cloudは保守が不要のフルクラウドサービスであること、管理コンソールが日本語に対応していることも運用負荷の軽減に貢献しています」（冨永氏）

働きやすい環境づくりに向けたさらなるセキュリティの強化

エンドポイントセキュリティの万全な基盤を確立した同社では、今後もSOCの管理者研修サービスなどを活用しながら、自社の技術力向上に取り組んでいくという。また、従業員が働きやすい環境づくりに向けて、VMware SD-WAN™ by VeloCloud®やクラウドプロキシの導入を検討するなど、取り組みを拡大していく方針だ。

「Carbon Black Cloudについては、USBデバイスの利用許可の設定に向けて、先日アップデートされたUSBデバイスの制御機能の活用を検討しています。サイバネットには、今後もセキュリティへの投資価値を高めるための提案やアドバイスを期待しています」（小清水氏）

 

製品情報

導入事例

お役立ち情報

VMware Carbon Blackとは

セミナー・イベント

お問い合わせ

サイバネットシステム株式会社　ITソリューション事業部　
お問い合わせ全般　 資料ダウンロード