「見える化しないとはじまらない。」ネットワークの可視化 × 自動遮断で安全性を確保

「CHALLENGE」を永遠のテーマにかかげ、ホイールのトップメーカーとして挑戦を続けている株式会社ウェッズ。国内外の代理店として、自動車部品全般の販売も手がけ、商社機能とメーカー機能を兼ね備えた事業を全国に展開している。

同社では、全国の営業所をはじめ、グループ会社すべての IT基盤の運用・管理を、本社のシステム部が一手に担っている。運用・管理する対象は、基幹システム、会計システム、グループウェアなど情報系のシステムの他、複合機や電話機、ネットワークまでと多岐に渡る。これらの IT 基盤の全てを少数精鋭で、安全に運用・管理しなければならないとシステム部システム課 課長　星野 匡彦 氏は話す。

• ネットワークの可視化で脅威が見える化できる
• 『潜入』の段階で検知して、被害が深刻化する前に対処できる
• L2Blocker と DDI の連携で感染した端末を自動的に遮断できる

IT基盤全般を運用・管理する中で、会社の情報資産を守るセキュリティ対策もシステム課の業務範囲だ。これまで、クライアント端末にはウイルス対策ソフトを導入し、インターネットを通して進入する不正なアクセスから守る”防火壁”となるファイアウォールを企業における最低限のセキュリティ対策として導入し運用してきた。

しかし、昨今のサイバー攻撃は、DDoS 攻撃やサイトの改ざん、不正アクセスなど、Web サイトへの攻撃だけでなく、標的型メールを代表とするランサムウェアやバックドア設置など、企業の内部を対象とした攻撃が増加している。これらのサイバー攻撃には、入口・出口と内部の対策を組み合わせた多層防御による対策が必要となる。同社が実施してきたセキュリティ対策は、昨今のサイバー攻撃から防御できるか不安があったという。社員がなりすましメールに添付されたマルウェアを開いてしまうという可能性も考慮し、社員教育を含め、再度自社のセキュリティ対策を見直す必要性を感じていたと星野氏。

セキュリティ対策を再検討しはじめた頃、世間では、標的型攻撃による情報漏えい事件や事故、ランサムウェアにより業務が停止となったことがニュースなどでも騒がれていた。どんなセキュリティ対策が自社にとって最適か、またどこまでの範囲を対応すべきか、エンドポイント型の最新マルウェア対策製品や拠点ごとに設置し振舞検知型で通信を遮断するアプライアンス製品など、最新のセキュリティ製品を複数検証したという。しかし、仮にインシデント単位で検知したとしても、それでほんとうに安全なのか、不安は解消されなかった。それは、検知に至る前の潜入経路も不明であることや、検知対処後の状態が本当に正常状態なのか、社内ネットワーク内にどんな脅威が潜んでいるか分かる術がなかったからだと星野氏は話す。

そんな時、星野氏が参加したセミナーで DDI を知ったという。 DDI は、ネットワーク上のパケットやファイルを監視し、時系列を分析、サイバー攻撃を脅威レベルの判定、攻撃のプロセス毎に可視化、検出できるトレンドマイクロ社の製品だ。

自社がどんなセキュリティの脅威にさらされているのかを見える化できていれば、逆に社内ネットワークが正常であることも証明できる。最新のセキュリティ製品を検証する中で感じた、未知の脅威への見えない不安は解消されると考えた。また、攻撃されている事をピンポイントで見つけることができれば、速やかに適切な局所対処（初動対処）が出来るようになる。「見える化しないと本当のセキュリティ対策は出来ない」と語る星野氏は、可視化の重要性を実感したという。

「見える化しないと何もはじまらない」と星野氏は、L2Blocker導入の経緯も話してくれた。

L2Blocker は、不正端末の社内ネットワークへ接続を防止するソフトクリエイト社の製品だ。DDI と連携し、外部への不審な通信が発生した端末を自動でネットワーク上から遮断する機能を有する。

ネットワーク上に、自社セキュリティポリシーが適用されていない端末が存在した場合、外部からの不正侵入の標的にもなり得るし、もちろん、内部からの情報漏えいなどのリスクにもなる。そもそも不正端末の接続防止は重要である。また、DDI と連携することで、ネットワークの可視化は、DDI で実現でき、外部との不正通信を検知した際には速やかに対象の端末をネットワーク上から遮断できる。脅威を可視化出来ていたとしても、全国にある拠点の端末に対し、システム部門が常に速やかな対応が出来るわけでは無い。

L2Blocker は、PC 端末だけでなく、複合機や IoT 機器などネットワークに繋がる全ての IT 機器を監視してくれる。速やかなインシデント対応を考える上で、DDI と L2Blocker が連携していることが重要なポイントだったと星野氏。

サイバー攻撃から会社を守るために必要な手段は、「攻撃に気づき、被害を極小化すること」だと経営層に訴え続け、DDI とL2Blocker 導入に至ったと星野氏は話す。

ちょうど 1 年前、インターネットの出口となるネットワークを本社集中型から分散型へ変更して、速度の向上とコストの削減を図っていた。しかし、分散型のネットワークだと DDI に通信パケットの集約ができず、全ての通信を監視する事が出来なかった。分散構成では、拠点からのインターネット通信や、拠点端末間の通信など社内ネットワーク全体の可視化ができない。そこで、ネットワークを分散型から本社集中型へ再度構成変更に踏み切った。この本社集中型への構成変更や DDI 設置環境の設計もソフトクリエイトが行なった。

システム導入後、ネットワークの可視化・脅威の見える化を実現したことで、攻撃に対し脅威レベル毎のアラートや、インシデントアラートが通知されるようになった。当初、アラート毎に対処するため、セキュリティ対策にかける対応時間は増加する事を懸念していたが、「マルウェアに感染したと考えられる端末は、DDI によって特定でき、端末内のウイルス対策ソフトによって隔離されたマルウェアがその後、不正な通信を行っていないことも確認できる。逆に、分からなかったからこそ対応してきた端末 OS のクリーンインストールなどの作業負荷がなくなった。」と星野氏。

DDI でパケット監視を行う事により、セキュリティインシデントに対する次の対策を立てることができ、且つ感染したと考えられる端末があったとしても自動的に遮断される事で、被害の深刻化を防止することができるようになったという。不安を抱えてきたサイバー攻撃に対し、安全と安心を手に入れることが出来たのだ。

インターネットが普及した今、ネット販売は必須だ。今後は、同社でも EC サイトの構築を視野に入れていきたいと星野氏は話す。しかし、WEB サイトで、DDoS 攻撃や、脆弱性をつく攻撃などの不正なサイバー攻撃にさらされており、より強固なサイバー攻撃への対策は必須だ。

進化するサイバー攻撃への対策は、終わることを知らない。同社のシステム部門もよりよいシステムへ進化させるための戦いは続いていく。

* 取材日：2017年9月
* 記載の呼称、組織名等は取材時のものです。