ニュース
» 2016年07月14日 08時00分 公開

「標的型攻撃対策は自前でがんばる」を選んだ西日本鉄道、その苦労と成果とは? (2/2)

[國谷武史,ITmedia]
前のページへ 1|2       

経営層の説得にも努力

 にしてつグループの標的型攻撃対策では、サンドボックスによる検知システムを自前で運用する方針になった。導入に向けて経営層の理解を得る必要をあり、標的型攻撃がもたらすリスクやグループのセキュリティ対策状況などを分かりやすく説明。最終的に、当時の中期経営計画にセキュリティ対策の強化が重点課題であることを盛り込み、対策の本格的な取り組みに着手する。

 サンボックスの導入に際しては、(1)グループのセキュリティレベルの向上、(2)セキュリティ機器の効率的な運用、(3)セキュリティコストの内製化――の3つを目標となった。(1)ではセキュリティ専任者不在の状況からノウハウを蓄積してインシデントに対応できるようにすること、(2)では24時間体制で運用するデータセンターの管理・監視にセキュリティ機器も組み込むこと、(3)では導入費用がかさんでも運用を含めたトータルコストを圧縮させること――との方針を決めた。経営層からも投資に見合うコスト効果や性能が得られる機器を導入するよう要請されたという。

運用形態に関する検討項目(出典:西鉄情報システム、ガートナー ジャパン)

 導入するサンドボックスについては、未知のマルウェアなどの検出能力だけでなく、万一マルウェアが侵入した場合を想定して、マルウェアと攻撃者サーバ(C&Cサーバ)の通信も検出できるかを重視した。また、自社運用で負担が少ないよう検知されるアラートの正確性や分かりやすさも重点ポイントに掲げた。

 実際の機器選定では3社のサンドボックス製品を同時に検証したという。三宅氏は、「メーカー各社に負担をかけてしまったが、製品の検出性能やログ、アラートが分かりやすさ点を同じタイミングで比較することが重要だった」と語る。検証結果から、複雑な攻撃手法の検知性能やサンボックスを回避する攻撃手法への対応、誤検知の少なさ、メンテナンスのしやすさといった点でにしてつグループの要件を満たしたファイア・アイの製品を選定した。特に、脅威を高い精度で検知できる点やアラートの重要度の分かりやすさといった点から、自前で運用しても対応やその判断が容易になることを評価したという。

 採用決定後、導入コストの高さや、すぐには機器の運用が困難といった点は課題になったものの、導入を支援した日立システムズの技術サポートやファイア・アイのトレーニングなどを積極的に活用。他社の導入事例を参考にしてにしてつグループとしての運用フローも確立し、現在ではスムーズな対応ができるようになっているという。

 三宅氏によれば、サンドボックスの運用を始めた2014年春から2016年までの2年間で、アラート発生から一時対応までの時間が大幅に短縮され、速やかな対策の判断と実施もできるようになった。現在では、アラートの原因分析や対策の実施までは全て自前で行っている。経営層に対しても月次でセキュリティ対策状況を報告し、評価を得ているとのことだ。

サンドボックスの自社運用に対する評価(出典:西鉄情報システム、ガートナー ジャパン)

 最後に三宅氏は、「セキュリティ機器の導入が目的にならないよう、きちんと運用できるのかを考慮することが重要であり、自前で運用するのか、外部を活用するのかを明確にしないといけない。自前での運用を決めたなら、自分たちで運用できる機器を選び、社内の体制も整備すべき。次の脅威に備えられるように日常的なセキュリティ情報の収集も大切になる」とアドバイスした。

 にしてつグループでは今後、自前でのセキュリティオペレーションセンター(SOC)の立ち上げ、運用も含めたセキュリティ対策のさらなる強化を検討しているという。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ