CASE STUDY 導入事例

2万台を超える端末の状況を瞬時に把握、 対策までの迅速化に貢献

空港業務に特化した業務端末にも適用可能なTaniumのEDRソリューション

お客様

全日本空輸株式会社様

カテゴリ

  • セキュリティ

関連サービス/製品

ANAグループでは、空港業務に必要な各種業務端末に対するエンドポイント対策として、これまでシグニチャベースのアンチウイルスソフトや振る舞い検知などのソリューションを導入してきましたが、万一のマルウェア感染時にも迅速な初動対応が可能な環境づくりに着手。侵入後の状況把握から対応までが迅速に実施できるTanium(タニウム)のEDRソリューションを導入することで、セキュリティ強化に向けた対策へ積極的に取り組んでいます。

■選定のポイント

  • 端末の状況把握から初動対応までの迅速性とリアルタイム性
  • 端末自体に負荷がかからない軽快性
  • EDRに留まらずモジュールによって用途や範囲を広げられる拡張性

■導入効果

万一のインシデント発生時に、感染端末のリアルタイムな特定からその隔離までがセンター側から可能に。初動対応が迅速になり、これまで以上にセキュアな環境が整備できた。また、インシデント発生時における抜線などの対応も、現場での物理抜線からセンター側からの論理抜線が可能になり、現場の心理的な負担も軽減できた。

全日本空輸株式会社様事例--これまで難しかった現場の状況把握 を、わずか数分でできるようになっ たのは圧倒的に大きいです。

課題:感染後の迅速な初動対応が大きな課題に

「お客様満足と価値創造」で世界のリーディングエアライングループになることを経営ビジョンに据え、年間5000万人を超える顧客に快適な空の旅を提供し続けているANAグループ。航空事業はもちろん、空港地上支援や航空機整備といった航空関連事業、旅行事業、商社事業など、ANAグループ全体で多角的な事業を手掛けており、世界97都市に就航するグローバルなビジネス展開により、連結売上は2兆円を超える規模にまで拡大。フルサービスキャリアとLCCの両事業を展開するエアライングループとして、顧客満足度を向上させながら多様なニーズに応えられる環境づくりに注力しています。

そんな同社では、業務に利用するPCはもちろん、フライト情報を表示する掲示板や自動手荷物預け機といったデバイスも含めた、さまざまな端末を現場に展開しています。ANAグループの業務端末におけるセキュリティ対策として、シグニチャベースのアンチウイルスソフトや振る舞い検知などのソリューションが導入されていますが、リスクベースのセキュリティ対策が大きく注目されるなか、万一の感染後の迅速な対応が可能な環境づくりが求められていたと語るのは、デジタル変革室 企画推進部 情報セキュリティ・基盤戦略チーム マネジャー 藤井 久仁彦氏です。「これまでは、いかに侵入を防ぐのかに比重が置かれており、万が一マルウェアに感染した場合は現場に抜線を連絡してすぐに対処してもらう運用でした。しかし、海外も含めて300を超える拠点数があるなかで、連絡がつかない場合には即座に感染が広がってしまう恐れもあります。リスクを前提に、感染後の初動対応を迅速に行える仕組みづくりが求められたのです」。

また、インシデント発生後にはフォレンジックをはじめ原因調査などが実施されますが、1度の調査で数百万円レベルの費用がかかるだけでなく、結果が出るまでに数か月を要することも。「抜線などの初動対応が迅速化できるだけでなく、状況の可視化を容易に行うことができる仕組みを検討することになったのです」と藤井氏。もともと米国国立標準技術研究所(NIST)が示すサイバーセキュリティフレームワークにおいて、最終的な「対応」「復旧」プロセスへの対応はもちろん、初期段階として重要な「特定」プロセスにも役立つ仕組みが検討されたのです。

※ NIST(National Institute of Standards and Technology)

選定ポイント:リアルタイムな状況把握と端末に負荷をかけない仕組みを評価

そこで注目したのが、TaniumのEDRソリューションでした。「PoCを実施したところ、状況把握から初動対応まで迅速に行うことができることが分かりました。当時はまだEDRにおけるマーケットが確立していない時代でしたが、何よりもリアルタイム性を重視していた我々にとって最適な仕組みだと判断したのです」。藤井氏の部隊が管理する端末は2万台を超えており、人海戦術で状況把握から対応まで行うのは至難の業。現場に行かずともセンター側で対処できる点も高く評価されたのです。「危険性のある実行ファイルが侵入しているデバイスを一括で検索してその場で対処できるなど、迅速な対応が可能な点はとても魅力的でした。環境全体の90%ほどを調べ上げるまでにわずか1分程度、最終的には2分ほどで全体が把握できる技術についても高く評価したのです」と藤井氏は説明します。

また導入した端末自体に負担がかからない仕組みも重要でした。「自動手荷物預け機はもちろん、運航支援するための端末も含めた空港全体への展開になるため、端末の動作が遅くなったり最悪止めてしまったりしては、空港業務が大混乱になります。十分なスペックが確保できない端末もあるため、PoCの段階でクリティカルな業務を中心にしっかり検証したところ、Taniumであれば対応できると判断したのです」。

さらに、EDRというカテゴリのソリューションながら、アセット管理など活用するモジュールによって活用できる用途や範囲が広がる点も高く評価した藤井氏。「OA系の端末は資産管理ツールなどから情報が収集できますが、一部業務端末は各担当者が個別にExcelで情報を記載し、構成管理の仕組みに挙げるルールとなっていました。しかし、どうしても漏れが発生してしまうなど、常に最新の情報が維持できていたわけではありませんでした。そんな場面に活用できるアセット管理が備わっているなど、拡張モジュールが豊富な点も大きなポイントでした」。

結果として、日本でいち早くTaniumの代理店として名乗りを上げていたテクマトリックスから調達することで、エンドポイントの状況把握から対処までをリアルタイムに実行する仕組みを構築することに成功するのです。

導入効果:WannaCryが話題になった際も、早期に安全宣言が可能に

現在は、自社のデータセンター内にTaniumの管理サーバーが設置され、オフィスで利用するOA端末をはじめ、案内表示板やチケット発券装置、空港内に設置された予約端末などの組み込みOSで動作する各種業務端末など、ANAグループ全体で利用している約2万5000台にTaniumが導入されています。Coreモジュールを中心に、EDRとして機能するThreatResponseや非管理端末を検知するDiscoverが導入されており、PoCとしてオフライン端末を含めた各種情報を可視化するAssetを活用、グループに展開する全てのソフトウェアの導入・更新・削除が可能なDeployも検討するなど、Taniumの各モジュールの適材適所での活用拡大が進んでいます。「Windowsの環境を補完する意味でも、アプリケーション配信に関しては Deployを使った方が回線負担も軽減できると考えています」。

Taniumを導入したことで、感染端末のリアルタイムな特定から端末の隔離までがセンター側から可能になるなど、万一のインシデント発生時の初動対応が迅速になり、これまで以上にセキュアな環境が整備できた点を高く評価しています。「これまで難しかった現場の状況把握を、わずか数分でできるようになったのは圧倒的に大きい」と藤井氏。ランサムウェアのWannaCryが大きく話題になったときも、土日のタイミングですぐに確認でき、月曜日の朝には役員報告することができたとエピソードを披露。「Taniumがなければ、そんなスピード感で報告できなかったでしょう」と力説します。なお、これまでインシデント発生時には、抜線などの対応を現場に依頼せざるを得ませんでしたが、今は論理的にネットワークから外すことが可能になっており、現場の心理的な負担も軽減できていると評価します。

今回Taniumを提供しているテクマトリックスについては、同社のTanium取り扱い初期の段階から二人三脚で環境を作り上げてきたと振り返ります。「Taniumを一緒に導入してきたことはもちろんですが、Taniumに限らず幅広くネットワーク系やセキュリティ系の製品を取り扱っているため、広い視点でアドバイスいただけることは大変ありがたいです。どんなものと組み合わせると我々にとって最適な環境が整備できるのか、提案も含めて今後も期待しています」と藤井氏。

今後:グループ全体でのガバナンス強化とTaniumのさらなる活用を目指す

同社のセキュリティ対策は、主にNISTのサイバーセキュリティフレームワークを意識しながら対策を実施しており、今後も充足していない領域に対して機能を実装していく計画です。「Taniumを活用して社内の衛生管理の視点から可視化を進めていくことで、まずはその基本となる部分をしっかりと押さえたいと考えています。また、現状はセキュリティパッチも含めた適用状況が把握できる形ですが、いずれはポリシーの自動適用も含めて自動化をさらに推し進めていきたい」と藤井氏。

また、現状はグループ全体でのセキュリティガバナンスが議論されており、グループ全体の状況把握にもTaniumを活用することが期待されています。「Taniumによる非管理端末の撲滅を進めていくことが、我々のリスク低減になることは間違いありません。グループ全体のリスクを減らしていくためにも、グループ個社で調達している端末まで管理対象を広げていく必要があります」と藤井氏は語ります。

さらに、内部にTaniumに詳しい専門家を育てていくことも検討しています。「運用担当者の立場では、特定の機能だけを使って品質を担保することにまい進することになりますが、Tanium自体いろんな使い方ができる、可能性のあるソリューションです。Tanium関連のノウハウを蓄積し、さまざまな使い方やユースケースが社内に提案できるメンバーを増やしていきたい」。実際には、最低限のルールが守られていない端末に関しては隔離していくような検疫ネットワークのような環境づくりをはじめ、個人情報が含まれている端末を調査するといったコンプライアンス系の用途でもTaniumが活用できるのではと最後に語っていただきました。

NISTのサイバーセキュリティフレームワークの主要な機能要件を100%カバーするTanium

全日本空輸株式会社

日本を代表する航空会社の全日本空輸株式会社(ANA)。国内線、国際線ともに国内最大規模を誇り、英国SKYTRAX社のワールド・エアライン・スター・レーティングでは世界最高評価の「5スター」を2012年から7年連続で獲得しています。ANAグループでは、アジア・新興国の経済成長を背景とした航空需要の拡大や、2020年開催予定の東京オリンピック・パラリンピックなどを見据えて、世界97都市に就航しグローバルでビジネスを展開。
業種:空運業

お客様担当者

全日本空輸株式会社
デジタル変革室 企画推進部
情報セキュリティ・基盤戦略チーム
マネジャー

藤井 久仁彦 氏

  • HOME
  • 導入事例
  • 2万台を超える端末の状況を瞬時に把握、 対策までの迅速化に貢献

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。