運用担当者が語る！
次世代エンドポイントセキュリティ導入の裏側と、1年間運用して実感した効果

SCSK株式会社はIT活用に関するコンサルティングから、システム開発、ITインフラ構築、ITマネジメント、BPO（ビジネス・プロセス・アウトソーシング）、ITハードウェア・ソフトウェア販売まで、ビジネスに求められるすべてのＩＴサービスをフルラインアップでご提供する総合IT企業です。

SCSKは約1万7,000台のPC、約2,000台のサーバーを自社で利用しています。お客様の重要なシステムや情報資産を扱うことから、セキュリティ対策には力を入れており、次世代ファイアウォールやサンドボックス、Webフィルタリングなど、強固な多層防御を施しています。

2018年1月には、さらに出口対策を強化するために次世代エンドポイントセキュリティのEDR（Endpoint Detection and Response）を導入。数あるEDR製品から、「Cybereason EDR」を採用しました。

今回は「Cybereason EDR」の導入・運用に関わるSCSK各部門の担当者が集まり、導入の背景や導入して発見した意外な効果について語りました。

インタビュー対応者

※所属組織は2019年3月現在の情報です。

SCSK株式会社　情報システムグループ コーポレートシステム部　課長　加曽利 浩司 社内システムの構築・運用を担うコーポレートシステム部で社内システムのサーバー基盤、ネットワーク基盤、セキュリティ基盤及びコミュニケーション基盤の運営を担当。	SCSK株式会社　情報システムグループ コーポレートシステム部　松澤 隆信 コーポレートシステム部にて主にセキュリティに関する業務に従事。EDR製品の評価から全社展開までを主導し、短期間での導入を完了。
SCSK株式会社　ITマネジメント事業部門 セキュリティサービス部 シニアエンジニア　手塚 信之 長年にわたり、各種セキュリティ関連製品・サービス提供に従事。直近は社外向け業務としてSOCサービスの技術リーダーを担当し、セキュリティ監視、インシデント対応業務を行う。社内SOCにおける技術支援、CSIRTにおける技術担当も務める。	SCSK株式会社 プラットフォームソリューション事業部門 ITエンジニアリング事業本部 営業推進部　有田　昇 アドバイザーとしてSCSKのCybereason導入プロジェクトに参画。現在は各種セミナーでのCybereason導入事例の講演や顧客向け提案活動などに従事。中小企業診断士、情報処理安全確保支援士。

SCSKがEDRの導入を検討した背景には、従来のセキュリティ対策だけでは解決できない難しい課題がありました。

未知のマルウェアや巧妙ななりすましメールが増えており、多層防御を行っていても100％防ぐことは困難です。なりすましメールは2016年頃から急激に増え始めたと感じていました。
実際に検知をすり抜け、差出人や内容が本物の業務メールと似ている巧妙なメールが届くようになっていました。
誤って添付ファイルを開いたりURLをクリックしたりしても、不正サイトへのアクセスをWebフィルタリングで防御しているため大事には至っていませんでしたが、対応が必要だと考えました。

SCSKの端末のうち、約3,000台が業務ネットワーク外で利用されています。例えば、お客様のオフィスに常駐するエンジニアが利用する端末や、検証用に独自のネットワークで運用管理している端末などが該当します。すべての端末にウイルス対策ソフトを導入しているものの、SCSKの業務ネットワークを経由しないため、SCSKのセキュリティポリシーを適用できないことが課題となっていました。

異常が検知された場合、まず端末の所有者に状況をヒアリングし、対処の要否を判断していました。しかし、ヒアリングだけでは判断が難しい場合もあり、実機を詳しく調査することもあります。端末の利用状況は千差万別で、実機の確認には時間も工数も要します。また、実機がSCSKオフィス外で利用している場合、取り寄せや代替機の手配など煩雑な作業も必要です。その結果、インシデント発生から問題解決までに1カ月ほどかかることもありました。

標的型攻撃を想定した なりすましメール訓練で判明した”限界”

社員のセキュリティ意識を把握するために、SCSKでは2017年から標的型攻撃メールに対する訓練を実施しています。
訓練用のなりすましメールを配信し、「どれぐらいの人がクリックしてしまうのか」「クリックしてしまうメールの内容はどういったものか」「なぜクリックしたのか」などを調べるものです。

◆なりすましメール訓練の実施状況（2018年度）

クリックした割合など、具体的な数字を示すことはできませんが、想定よりもクリックしてしまう人が多かったというのが実感です。
SCSKは事業の性質上セキュリティポリシーが高い方ですが、自分に関係する内容であれば、クリックしてしまう可能性が飛躍的に高まることが確認できました。
例えば、2月に実施した訓練では、SCSKの健康保険組合と似た名称で「医療費負担額のお知らせ」という件名で配信したところ、クリックしてしまう人が増加しました。
社員のリテラシーを高めることはもちろん重要です。しかし、普段は注意していても、忙しい時には注意力が低下するケースも見受けられ、ユーザー側での対処には限界があることが改めてわかりました。

前述のような背景もあり、侵入を100％防ぐことに全力を注ぐのではなく、侵入を素早く検知し、ダメージを最小限に抑える対策が必要と考えました。そこでたどり着いたのが、出口対策である次世代エンドポイントセキュリティのEDRでした。

複数のEDR製品を精査したところ、SCSKに最も適合しそうな製品が「Cybereason EDR」でした。そこで、検証・評価を行うために、コーポレートシステム部を含む情報システムグループのPCおよびサーバー約130台に「Cybereason EDR」をインストールし、約1カ月間実際に業務で利用しました。

「Cybereason EDR」の評価・検証

高精度で未知のマルウェアを検知できること、近年流行しているランサムウェアについても検知した瞬間にブロックできることが検証を通じて確認できました。

不審な挙動があると、サイバーリーズン社から異常検知のアラートが来ます。そのアラートをもとに、管理画面で該当端末の状況をすぐに確認し、リスクのある端末をリモートで隔離できます。
また、管理画面では、端末の動作プロセスも把握できるので、サイバーリーズン社の監視サービス「MSS（Managed Security Service）」と組み合わせることで、高度なフォレンジックを実現できることもわかりました。
結果として、これまでのように「いつ・何をしたか」などを電話で利用者にヒアリングする手間を減らせます。

「Cybereason EDR」は端末にインストールした“センサー”で異常を検知しますが、当初は、このセンサーによる端末への負担を懸念していました。
しかし、このセンサーは一般のウイルス対策ソフトのようなカーネルモードではなく、ユーザーモードで動作し、OSや他のアプリケーションに影響は与えません。通信量は5～10MB／日程度とネットワークへの負荷が少なく、またCPUへの負担も少ない点も評価しました。

SCSKは1万9,000台もの端末を有しているため、センサーのインストールのしやすさも重要なポイントです。Windows 10端末については、マイクロソフト社のSCCM（System Center Configuration Manager）を用いて自動配布し、問題なくインストールできることを確認。さらに、「MSS」も人的リソースの軽減に貢献することもわかりました。

この事前検証により、「Cybereason EDR」はSCSKのセキュリティにおける課題に向けた有効な手段であると結論付け、導入を決定しました。

SCSKでは、早期にWindows 10に移行しています。「Cybereason EDR」のセンサーはSCCMで自動配布できるため、PCへの配布は非常にスムーズでした。センサーの自動配布について、全社員に事前に通知していましたが、社員から「気がついたらインストールされていた」という声があったほど。Windows 10以外のPCやサーバー、業務ネットワーク外の端末は手動でインストールしましたが、特に問題なく対応できました。

脅威検知時の1次対応にサイバーリーズン社の監視サービス「MSS」を利用し、「MSS」では対処が難しいアラートに関してはSCSKの社内SOC（Security Operation Center）で2次対応を行っています。

図：「Cybereason EDR」導入後の運用体制

「MSS」に完全に任せず、社内SOCとダブル監視を行っている理由は、SCSKの業務の性質上「MSS」だけでは本当に脅威かどうか判断が難しいケースがあるためです。
例えば、SCSKが開発業務の一環として実施する検証作業の操作が「MSS」では不正と判断されてしまう場合があります。当然、SCSKの業務内容も加味した判定を「MSS」に求めることは困難です。社内SOCは「社内システムを熟知している」「現場の業務を把握している」という点で、アラートの精査に役立っています。
また、「MSS」で大部分のアラートがフィルタリングされるので、実際にSCSKが対応する件数は僅かです。全てのアラートを確認するのは非現実的ですので、時間や工数を軽減でき大変助かっています。

「Cybereason EDR」では、センサーがインストールされている全端末を監視できます。
導入後は、今まで困難だった業務ネットワーク外の端末（お客様先に常駐するエンジニアの端末、在宅勤務用の端末など）も監視できるようになりました。

特に便利だと感じたのは、端末の設定情報やインストールされているアプリなども可視化できる点です。リスクの高い端末は早期に対応し、利用者に注意を喚起することで問題を未然に防止できます。

「MSS」のアラートで問題を未然に防いだ例

ある時、「MSS」からの“3389ポートへの不正アクセスを受けている端末が存在する”というレポートを受け、リモートデスクトップが有効になった状態でインターネットに接続している端末の存在が明らかになりました。
つまり、外部から不正に操作される危険性があったのです。「Cybereason EDR」のおかげで問題が発生する前に素早く対処できました。

以前まで、異常を検知した場合、状況確認、解析、調査、レポート作成に至るまで、全工程をコーポレートシステム部が担っていました。一般的にセキュリティ製品は運用が大変で、全社導入すると運用負荷が掛かります。
事前検証段階である程度運用イメージは湧いていましたが、実際導入してみると意外なほど「Cybereason EDR」は運用負荷が低い製品でした。

検知やレポートをサイバーリーズン社の「MSS」が行ってくれ、工数が大幅に減ったことが大きな要因だと考えています。また、今まで端末の特定、隔離、無効化に時間を要していましたが、導入後は瞬時に対応でき、リスクを早期に低減できるようになりました。

◆サイバーリーズン社の監視サービス「MSS」から送付されるレポート（イメージ）

幸いにも、隔離が必要なほどの攻撃は受けていませんが、事前検証で実感した素早い初動対策とフォレンジック能力は本稼働でも大きな効力を発揮しています。

経済産業省も「サイバーセキュリティ経営ガイドライン Ver2.0」に基づき、多層防御の実施とともに、攻撃を監視・検知する仕組みやインシデントに備えた対応・復旧体制を整備するよう求めています。

しかし、エンドポイントまで監視するとなると、監視対象の端末やアラートの種類が格段に増えるため、相応のセキュリティ要員が必要になります。近年はセキュリティ人材の確保が難しく、確保できてもコスト増につながります。SCSKも例外ではありません。

「Cybereason EDR」は、セキュリティに対する意識は高いものの、セキュリティ要員が足りない企業に適しています。初期対応の大部分を、サイバーリーズン社の「MSS」が担ってくれるので、少ない要員でも運用することができるのです。

サイバーリーズン社の話では、同社が対応した侵害調査（ハンティング）サービスで、高確率で不正な遠隔操作ツール（RAT）やバックドア、ランサムウェアが見つかるとのこと。しかも、そのほとんどが一定水準以上のセキュリティ対策を実施している企業だそうです。

現在、EDRに大きな注目が集まっています。SCSKは、実際に「Cybereason EDR」を導入し、大きな効果を得ることができました。
今後はSCSKへの導入で得た知見をもとに、各企業に合った「Cybereason EDR」の活用方法を提案いたします。まずはお気軽にお問い合わせください。

図：【参考】一般的な「Cybereason EDR」導入前後の工数・時間の比較