事例・コラム

伊藤忠テクノソリューションズ(自社)

更新

エンドポイントセキュリティ対策に「Cybereason EDR」を多様なクライアント端末に導入
サイバー攻撃の成立・拡散を許さない体制を確立

  • Cybereason EDR

伊藤忠テクノソリューションズ株式会社(以下、CTC)は、更なるセキュリティ強化策として、クライアント端末やサーバなどに侵入したマルウェアのサイバー攻撃を早期に検知、対処して被害の拡大を防ぐエンドポイント検知対応ソリューション「Cybereason EDR」を選定。CTC本体とグループ企業の従業員約1万7,000名が利用する環境に導入している。

課題と効果

課題
  • 多様な端末への迅速なセキュリティ対策
  • 既存の侵入防止対策に加え侵入後の対策が必要
効果
  • Cybereason EDRにより侵入時も攻撃を成立させない仕組み
  • 初動対応はIH for Cybereason MSSで行い、情報システム部の運用工数を軽減

導入事例インタビューデータ

会社名
伊藤忠テクノソリューションズ株式会社
所在地
〒100-6080 東京都千代田区霞が関3-2-5霞が関ビル
創立
1972年
URL
https://www.ctc-g.co.jp/
  • 伊藤忠テクノソリューションズ株式会社 情報システム室 情報システム部 クライアントシステム課 課長 菅原 高道

    伊藤忠テクノソリューションズ株式会社

    情報システム室
    情報システム部
    クライアントシステム課
    課長

    菅原 高道

  • 伊藤忠テクノソリューションズ株式会社 情報システム室 情報システム部<br>クライアントシステム課 上杉 裕幸

    伊藤忠テクノソリューションズ株式会社

    情報システム室
    情報システム部
    クライアントシステム課

    上杉 裕幸

課題

巧妙にすり抜けるサイバー攻撃が増加 多様な端末のセキュリティ管理が課題に

コンサルティングから設計、開発・構築、運用・保守サポートまで、総合ITサービスを提供するCTC。顧客の重要なシステムや情報資産を扱うため、社内システムには厳重なセキュリティ対策のもと、ファイアウォール、アンチウイルスソフト、アクセス制御などを多層的に施してきた。それでも、近年は新種・亜種のマルウェアが次々と発生。ファイルレス攻撃、スクリプト攻撃などの方法も多様化・巧妙化している。
「多くの企業で不正アクセスの事例が報告されており、社内でも従来のマルウェア対策だけでは不十分ではないかという議論が高まっていました」と情報システム部 クライアントシステム課 課長の菅原高道は語る。

セキュリティ対策では、端末管理の課題も大きい。同社の従業員はCTC本体とグループ合わせて約1万7,000名に達する。そのうち約1万名はシンクライアントシステムを日常的に利用。外出先や自宅などからもデスクトップ環境にアクセスして業務を行っている。
残りの数千名はFATクライアントを利用し、CPUのパワーを必要とする開発や、様々なアプリケーションを操作している。CTCグループにはシステムの保守・運用サービスを手がける会社もあり、顧客データを扱う業務などにはFATクライアントが必須だ。
「シンクライアントからFATまで多様な端末が存在し、外部に持ち出す機会も多いため、管理が行き届かないとセキュリティポリシーから漏れてしまう恐れもありました」と情報システム部 クライアントシステム課の上杉裕幸は説明する。

そこで、「サイバー攻撃の侵入は完全に防ぐことはできない」という前提に立ち、未知の脅威を早期に検知して被害の拡大を防ぐEDR(Endpoint Detection and Response)ソリューションの導入に乗り出した。

選択

マルチOS対応、パフォーマンスへの影響はなし CybereasonとCTCによる運用支援を評価

複数のEDR製品からCTCが選定した「Cybereason EDR」は、AIを活用した独自の分析手法を用いてエンドポイントの膨大なログデータを自動で解析し、攻撃の兆候やマルウェアへの感染などを早期に検知する。攻撃を受けた複数の端末に対して隔離、プロセス停止、レジストリの削除などを遠隔で実行し、攻撃の拡散を防ぐことで被害を最小化する。

選定ポイントは3つあった。1つめはマルチOS対応。同社の場合、シンクライアントシステムの特殊なOSにも対応する必要があった。その点、Cybereason EDRは一般のエンドポイント製品のようなOSに影響を及ぼす「カーネルモード」ではなく、OSとのやりとりがない「ユーザーモード」で動作するため、マルチOSに対応できる。
2つめは、端末のパフォーマンスに影響を与えないこと。Cybereason EDRのエージェントはエンドポイント上で各種データを収集し、分析処理はクラウド上で実行するため端末への負荷はかからず、通信量は1日5~10MB以下とネットワークへの負荷も少ない。
3つめは、情報システム部の業務に負荷がかからないことだ。Cybereason EDRでは、専門アナリストによるマネージドセキュリティサービス(Cybereason MSS)が受けられる。更にCTCのセキュリティオペレーションセンター(SOC)が運用する「IH for Cybereason MSS」が24時間365日のインシデント初動対応を実施している。
CybereasonのMSSは一次対応窓口として監視・解析の結果を分析し、危険性が高いものは通知してくれるが、システム開発を請け負うCTCの業務の性質上、判別が難しい場合もある。そこでIH for Cybereason MSSで専用のインシデントハンドリングチームが二次対応としてアラートの詳細を調査し、対処が必要なものに対して端末隔離やネットワーク遮断などの暫定対策を実施した上で通知を行う。

「情報システム部にはCybereason EDRに対する運用の負荷がかからないため、その他のセキュリティ対策に集中できます」(菅原)

導入

エージェントの配布のみで導入完了 ユーザーの混乱もなし

Cybereason EDRの採用を決定後、CTCは約2カ月で動作検証や運用環境の整備を終えた。から約1万7,000名の端末やシンクライアントシステムのサーバへの導入を開始した。

「従業員には、送ったインストーラを実行してもらうだけです。最初は多くの問い合わせに備えて電話対応窓口を用意しましたが、思った以上に問い合わせはありませんでした。ユーザーが意識することなく使える点は、まさに狙いどおりです」(上杉)

システム構成図

効果

社外に持ち出した端末も遠隔で監視 トラブル時には即座に対応が可能に

Cybereason EDRの導入により、未知のサイバー攻撃が社内ネットワークに侵入しても、攻撃の成立・拡散を許さない体制が確立できた。特に感染のリスクが高い、社外に持ち出した端末を監視できるメリットは大きい。

「これまで社内ネットワークの外にある端末は、テレワークやモバイルワークで外に持ち出したり顧客先で利用していたりすると、社に戻るまで感染の状態がわかりませんでした。Cybereason EDRなら遠隔で監視できるので、何かあっても即座に対応できます」(菅原)

今後の展望

セキュリティ運用の効率化に向け 次世代アンチウイルスとの統合を検討

同社では更にCybereason EDRの機能を使いこなしていく構えだ。

「例えば、サイバー攻撃の進行状況を表示するダッシュボードを見ながら攻撃の全体像を把握したり、解析結果を分析したりしながら、弱点の解消に努めたいと思います」(上杉)

また、セキュリティ運用管理の更なる効率化に向け、現在利用しているアンチウイルスソリューションから、Cybereasonの次世代アンチウイルス(Cybereason NGAV)に一本化することも検討中だ。

「侵入防止から侵入後の対策までを1つのプロダクトに統合することで、コストと運用面でのメリットが得られる可能性が高いので、来年度にかけて検証予定です」(菅原)

CTCではCybereason EDRの運用実績を自社の製品・サービス部門にもフィードバックしていくため、得られた知見は確実に顧客へのサービス向上にもつながっていく。

導入製品・ソリューション

  • このページについてツイッターでツイート(新しいウィンドウで開く)
  • このページをフェイスブックでシェア(新しいウィンドウで開く)

この事例に関するお問い合わせはこちら

※記載内容は掲載当時のものであり、変更されている場合がございます。