富士製薬工業株式会社(以下、富士製薬工業)では、アンチウイルス製品をすり抜けて侵入してくる未知のサイバー攻撃から自社の情報資産を守るために、米サイバーリーズン社が提供するEDR製品「Cybereason EDR」を導入。これにより強固なエンドポイントセキュリティ対策を実現すると共に、CTCが提供するインシデントハンドリング初動対応サービス「IH for Cybereason」もあわせて導入することで、Cybereason EDRが深刻な脅威を検知した際にインシデント対応を迅速かつ確実に行うための体制を整えた。
課題と効果
- 課題
-
- 情報セキュリティ対策とリテラシーを段階的に強化していく必要性
- 国際的イベント開催に伴うサイバー攻撃激化への備え
- アンチウイルスをすり抜けてくる脅威の検知・除去
- 効果
-
- エンドポイント対策の強化によって情報セキュリティの底上げを実現
- アンチウイルスでも検知できない未知の脅威の検知・除去
- 24時間×365日の監視体制と脅威の詳細調査、初動対応
導入事例インタビューデータ
- 会社名
- 富士製薬工業株式会社
- 所在地
- 東京都千代田区三番町5番地7
- 設立
- 1965年4月
- 従業員数
- 1,527名 ※連結/2019年9月30日現在
- 事業内容
- 全国に支店を持つ製薬メーカー。女性医療領域をはじめとした医療用医薬品の開発・製造・販売を行う
- URL
- https://www.fujipharma.jp/
-
富士製薬工業株式会社
経営管理部
経営管理グループ
システム統括課 リーダー早川 健氏
課題
アンチウイルスをすり抜けてくる脅威をいかに排除するか
に設立した富士製薬工業は、女性医療領域の新薬や体外診断薬、急性期医療領域のジェネリック医薬品などの医療用医薬品の開発・製造・販売をおこなっている製薬メーカーである。東京の本社オフィスと富山県内の製造・研究開発拠点のほか、全国に支店を展開している。
医薬品の研究開発に関わる情報データは絶対に外部に漏らしてはならず、当局に報告する薬の副作用に関するデータも不正や改竄が発生しないよう厳密に管理する必要があるため、同社はこれまで段階的に情報セキュリティ対策を強化してきた。
数年前、社内の端末が知らぬ間にDDoS攻撃の踏み台にされていることが発覚し、このことがきっかけで社内のセキュリティ対策に対する意識が1段階上がった。更にその後、数台の端末がランサムウェアに感染し、これによって更にもう1段階危機感が高まったという。
当時の状況について、同社 経営管理部 経営管理グループ システム統括課 リーダー 早川健氏は「夏には国内で開催が予定されていた国際的イベントを控えており、日本企業に対するサイバー攻撃が激化することが予想されていたことから、さらなるセキュリティ対策の強化が必要だと考えていました。」と語る。
当時既に同社ではファイアウォールやIPS/IDS、Webフィルタリングといったネットワーク周りのセキュリティ対策は一通り実施しており、更に全てのクライアント端末に対してアンチウイルス製品を導入していた。しかし昨今の高度なサイバー攻撃をこれらの対策で100%防御するのは難しく、社内ネットワークへのマルウェア侵入のリスクも年々高まっている。
提案
未知の攻撃に対処可能なEDR製品「Cybereason EDR」を提案
現場の社員一人ひとりのセキュリティ意識を喚起すべく、情報セキュリティに関する社員教育なども実施したものの、それだけで攻撃が完璧に防げるとは思えていなかったという。
「アンチウイルス製品は未知の攻撃を検知できませんから、昨今の高度なマルウェアの侵入を100%防ぐのは困難なのは明らかでした。ましてや、当社にはITリテラシーが決して高くない社員も多いので、本人たちが気づかないうちに端末が感染していることも大いにあり得ます。こうしたリスクをできるだけ早く除去するために、何らかの対策を講じる必要がありました」(早川氏)
そこで同社が白羽の矢を立てたのが、EDR(Endpoint Detection and Response)であった。エンドポイント端末を常時監視し、不審な動きを即座に検知するEDRなら、アンチウイルスをすり抜けてくる未知の攻撃も確実に排除できると考えたのだ。
早速同社はEDR製品の選定作業に入った。いくつかの製品を比較検討している中、「以前からCTCさんには、様々な分野のIT製品を提供していただいていました。そこで今回のEDR製品の選定でもご相談させていただければと考え、CTCさんが主催するイベントでEDR製品の導入事例を紹介するセッションを聴講しました。その後、登壇者に直接相談いたしました」(早川氏)
後日、CTCで富士製薬工業様の要件をヒアリングし、複数製品を比較検討した結果、最も要件に合致していると判断したソリューションが米サイバーリーズン社の「Cybereason EDR」だった。
選択
Cybereason EDRと共にCTCのサービス「IH for Cybereason」を採用
この提案を受け、富士製薬工業は早速Cybereason EDRを試験導入し、その使い勝手を検証してみた。その際の印象について、早川氏は「管理画面のGUIが非常に使いやすく、直観的に操作できる点がとても印象的でした。またクライアント端末へのエージェントソフトウェアの導入も簡単で、端末の動作にほとんど影響を与えない点も魅力的でした」と述べる。
加えて、同製品による監視作業をサイバーリーズンが代行するMSS(Managed Security Service)とCTC独自のインシデントハンドリング初動対応サービス「IH for Cybereason」を提供している点も高く評価したという。同社では少人数で情報セキュリティ対策を行っていたため、夜中や休日の対応までなかなか手が回らなかった。その点、サイバーリーズンのMSS とIH for Cybereasonを組み合わせ、24時間×365日MSSからのアラートに、CTCが詳細調査と初動対応作業を代行してくれる。
Cybereason EDRが発するアラートは、まずサイバーリーズンのMSSで解析・分析が行われ、「Malop」と呼ばれるセキュリティアラートとして通知される。しかし同社では、セキュリティ管理を担当する社員はマルウェアの対応に知見がある早川氏1人しかおらず、全てのMalopをチェックすることは到底不可能だった。
「その点IH for Cybereasonを使えば、当社に代わってCTCさんのインシデントハンドリング初動対応チームでMalopを24時間×365日体制で解析し、緊急度の高いものは初動対応を実施し、当社に通知、その後の対応も支援してくれます。そのため、当社のようにセキュリティ対策に割ける人的リソースが少ない場合でも、漏れなく迅速にインシデント対応を行うことができると考えました」(早川氏)
こうしてCybereason EDRとIH for Cybereasonの正式導入を決めた同社は、より導入作業を開始。社内にある約800台のPC全てに対してCybereason EDRのエージェントソフトウェア(センサー)を導入したが、大きな問題が起こることもなく、極めてスムーズに導入作業を終えることができたという。
効果
脅威を漏れなく可視化できることで得られる安心感
同社はから、本格的にCybereason EDRの運用を開始した。それ以来、些末なアラートは幾つか発生したものの、幸いなことに緊急度の高いアラートは発生していない。社内に潜んでいるかもしれない脅威が完全に可視化されたことで、安心感が増したという。
「毎朝Cybereason EDRの管理コンソールを開いて、脅威が発生していないかチェックするのが日課になっていますが、幸いこれまでは軽度のアラートしか検知されていません。その具体的な内容もサイバーリーズン社のMSSの担当者が詳しく教えてくれるので、とても安心感があります」(早川氏)
IH for Cybereasonによるインシデント対応が発動される機会も、幸いにして今のところない。しかし「いざという時にはCTCがすぐ対応してくれる」という安心感は、何物にも代え難いという。
「深刻な脅威が発生していないのはいいことですし、何より普段から内部のセキュリティ状況がしっかり可視化されていることは、大きな安心感につながり、私たちも普段の仕事に専念できます」(早川氏)
今後の展望・CTCへの期待など
今後はモバイル端末へのCybereason EDRの展開も検討
こうしてCybereason EDRの導入でエンドポイントセキュリティ対策の大幅な底上げを果たした同社は、今後も同製品の適用範囲を広げることで更に強固なセキュリティ対策を目指すとしている。
「サイバーリーズン社からモバイル向けの製品がリリースされたということなので、今後は、従業員に配布しているスマートフォンへの適用も検討したいと思っています。また、Cybereason EDRを通じて意図的にマルウェアの検体を端末上に置いて、インシデント対応の訓練を実施したり、ユーザーのセキュリティ意識向上を図れるような機能があるともっと便利になるでしょうね。今後の機能強化にも大いに期待しています」(早川氏)
またCTCが提供するIH for Cybereasonについても、今後はサービス利用の幅を広げることも検討してみたいと早川氏は抱負を述べる。
「現時点では、緊急度の高いMalopのみ対応していただく契約になっています。しかし、例えば一定期間のみ緊急度の低いものにも対応していただき、該当ユーザーにCTCさんから直接連絡してもらえれば、ユーザーのセキュリティ意識を底上げできるのではないかと考えています。今後ともCTCさんにはセキュリティ関連ソリューションはもちろんのこと、それ以外の領域でも引き続き当社の要件に合致した製品・サービスの提案をいただければと思います」