導入事例

lvantiのソリューションの導入により、最新のセキュリティパッチが自動的に適用される環境を構築し、日本・アジアで合計1万5000台あるPCの脆弱性対応を1週間以内に完了。

導入背景

・情報漏洩対策を中心としたセキュリティ対策から、高度化・複雑化するサイバー攻撃の脅威に対して対策強化することが必要になった

・セキュリテイパッチを適用する頻度や数が増えるのに伴って、ユーザー自身の手作業による対応が十分に機能せずに脆弱性が放置されるケースが増えてきた

・半期ごとにコストをかけて全てのPCを対象に脆弱性の監査を実施したものの、投資に見合った効果が得られなかった

検討のポイント(選択の理由)

・帯域が十分でないWANに接続された拠点でも、1000台以上のPCに対して迅速・確実にパッチを配信できる

・拠点ごとの中継サーバが不要であるため、海外拠点のPCでも脆弱性対応を国内で運用管理することが可能

・グローバルに分散している複数拠点において、合計で約1万5000台のPCを単一のサーバで管理できる

導入効果

・ユーザーが何の作業をしなくても自動的に最新のパッチが適用されるので、管理者とユーザーの双方の作業負担を軽減

・脆弱性情報の公開後、すぐにlvantiからテスト済みのインストーラが自動配布されるので、情報公開のほぼ翌日にはパッチを適用できるようになった

・情報公開から1週間以内に全ての拠点で脆弱性対応を完了することが可能になった

・常に安全な環境を担保できるので半期ごとに実施していた脆弱性対応の監査を廃止、コストを削減できた

サイバー攻撃を前提として、約1万5000台のPCを対象に
ソフトウェアの脆弱性への対応を強化

lvantiのソリューションで常に安全な環境を実現

1908年に、ミシンの修理業として創業したブラザー工業様。その後、同社は独自の技術開発に注力、蓄積したコア技術を駆使して事業の多角化を推進するととともに、常に新しい市場を開拓することで成長してきました。1954年に米国に販売会社を設立して以降、グローバルな事業展開を加速。現在は40以上の国・地域に生産拠点や販売・サービス拠点を有し、海外の売り上げ比率は全体の8割を超えています。

高度化・複雑化するサイバー攻撃に備えたセキュリティ対策を立案・実践するのが、グループ本社であるブラザー工業様に設置されているIT戦略推進部の重要な役割の一つとなっています。

同部は、2016年にセキュリティ対策の強化に乗り出しました。それまでのセキュリティ対策は、情報漏洩を防ぐことに主眼が置かれていましたが、手口が高度化·複雑化するサイバー攻撃を前提として防御策を強化することを決断しました。①サイバー攻撃から守る、②攻撃・脆弱性の可視化、③侵入後の対応という3つの視点でセキュリティ対策を見直したといいます。

従来のセキュリティ対策で大きな課題となっていたのが、ソフトウェアの脆弱性への対応です。ブラザーグループでは、OSやオフィスソフトなどのマイクロソフト製品に加えて、AdobeFlashや同Reader、Javaなど脆弱性が攻撃対象となりやすいソフトウェアを利用しています。従来は、マイクロソフトが提供するパッチと同時に、これらのソフトウェアに対するパッチの適用を電子メールで依頼していました。パッチを適用する操作は、個々のユーザーが手動で行います。

パッチの適用を促進するために、ユーザー自身が脆弱性を把握できるような仕組みも作りました。各ソフトウェアのバージョンが最新であるか否かを一覧できるアプリケーションをIT戦略推進部が独自に開発したのです。このアプリケーションを実行することで、各ユーザーがどのソフトウェアが最新でないかを容易に把握できます。最新版でないソフトウェアがあった場合は、それにパッチを適用する手順を示したマニュアルも配布しました。

ユーザー自身での対応が限界に

また、半期ごとに実施している情報監査で、部門のPC管理者の協力の下で全てのPCの脆弱性を確認しました。最新版でないソフトウェアが残っているPCには、パッチを適用することで脆弱性を排除する体制です。しかし、パッチを適用する頻度や数が増えるのに伴って、ユーザーから煩雑な操作に対する不満の声が上がリ始めました。

そういった状況の中で、IT戦略推進部がパッチ適用の実態を調査したところ、予想以上に脆弱性が放置されたままであることが判明しました。パッチの適用を依頼した後、1週間以内に対応できていたPCは30%にすぎなかったのです。2週間後には60%、1カ月後には70%と対応の割合が増えていくものの、残リの30%は半期に1度の情報監査まで脆弱性が放置されたままでした。

「監査に多額のコストを投じているにもかかわらず、脆弱性が放置したままのPCが数多く存在しているという状況だったのです。IT戦略推進部のIT管理グループでチーム・マネジャーを務める伊藤智浩氏は、次のように当時を振り返ります。

「年間で数百万円も投資しているにもかかわらず、完全に脆弱性を排除できるのは半期に1度だけ。これでは投資額に見合いませんし、サイバー攻撃の脅威を防ぐことはできません。経営層も含めて、脆弱性対応を自動化する環境が必要だと判断しました」

迅速·確実にパッチを配信できるlvantiを選定

複数の企業のソリューションを比較検討した結果、同部が選定したのがlvantiのソリューションです。2016年にセキュリテイパッチ管理ソフトウェア「Patch for Endpoint Manager」とエンドポイント管理ソフトウェア「Endpoint Manager」を導入しました。

lvantiのソリューションを選定した理由は、拠点ごとの中継サーバが不要な点と帯城が十分でないWAN経由でもパッチ配信をきめ細かく制御できる点を高く評価したからです。世界に分散する拠点において合計で約1万5000台を導入しているブラザーグループにとって、これらは重要な要件でした。海外拠点の中には、1000台以上のPCを導入しているにもかかわらず、WANの帯域が十分ではないというところも存在しています。伊藤智浩氏は「日本の拠点が運用を担うので、中継サーバを設置したくありませんでした」と語ります。

lvantiのソリューションは、「自己組織型マルチキャスト」と「ピアダウンロード」という2つの独自ソフトウェア配信技術を備えているため、中継サーバが不要なことが大きな特徴です。自己組織型マルチキャストはプッシュ配信時に利用される技術で、lvantiサーバから各セグメントの代表PCにデータをユニキャスト配信し、代表PCがほかのPCにデータをマルチキャスト配信します。WANを経由する通信はセグメントごとに1回のみのため、最低限のWANの通信でネットワーク帯域を圧迫せずに一斉配信ができます。代表PCは毎回、サーバと通信の良いPCが動的に選定されるため、拠点に特定の機器を用意する必要や特別な設定は必要ありません。

一方のピアダウンロードは、PCがセグメント内のほかのPCにデータを持っていないか確認し、応答があったPCからデータをダウンロードします。応答がなければlvantiサーバからデータをダウンロードし、PC同士でシェアする仕組みです。これらの技術によって、帯域が十分でないWAN経由でも迅速に、そして確実にパッチを配信することが可能になったのです。

常に脆弱性ゼロの安全な環境を実現

伊藤智浩氏は導入効果を高く評価しています。「ユーザーが何の作業をしなくても、常に最新のパッチが適用されて安全な環境を実現できていることが最大のメリットです」と評します。実際に、脆弱性対応の状況を調べたところ、パッチの提供から1週間以内に全てのPCに適用されていたといいます。

安全な環境が担保されるので、脆弱性対応の監査も廃止しコスト削減にもつながっています。セルフチェックも必要なくなったため、ユーザーからのクレームもなくなりました。伊藤氏は、現在の環境を次のように評します。

「IT戦略推進部もユーザーのどちらも、パッチ適用に関する作業時間を激減できました。新たに創出できた時間が付加価値を生み出す作業に振り向けられるようになるので、数字には表れませんがグループ全体では膨大な恩恵を得られたと考えています」

導入製品

Ivanti Endpoint Manager
Ivanti Patch for Endpoint Manager

お話いただいた方

伊藤 智浩 氏

株式会社ブラザー工業
IT戦略推進部IT管理グループ
チーム・マネージャー
伊藤 智浩 氏