CASE STUDY 導入事例

検知しているか不安の残るシグネチャ運用からの脱却を実現 自作ルールの可視化を可能にするBlackBerry® ProtectとBlackBerry® Optics

お客様

freee株式会社様

カテゴリ

  • セキュリティ

関連サービス/製品

クラウド会計ソリューションを中心に多くの顧客にサービスを提供しているfreee株式会社では、複数OSが混在する環境でも統合的なエンドポイント対策が可能な基盤を模索していました。そのような中で採用されたのが、独自の数理モデルでマルウェアに対する高い検知率を誇る「BlackBerry® Protect(旧:CylancePROTECT)」と、統合された管理画面を通してエンドポイントの挙動検知から調査、対処が可能なEDR(Endpoint Detection and Response)ソリューション「BlackBerry® Optics(旧:CylanceOPTICS」)です。
  • 導入のきっかけ
    • シグネチャベースの仕組みで十分な検知が難しいなか、アンチウイルスソフトウェアの更改を迎えた。
    • 振る舞い検知による検知精度の向上とともに、シグネチャに頼らないエンドポイント対策を希望。
  • 環境
    • 従業員および業務委託で同社にアクセスするパートナーのPCに展開
  • ソリューション
    • BlackBerry ProtectおよびBlackBerry Opticsを導入

freee株式会社様 導入事例


課題:ベンダ提供のシグネチャ運用からの脱却に向け注目したEDRソリューション

課題と解決策 freee株式会社様 BlackBerry Protect 導入事例 「スモールビジネスを、世界の主役に。」をミッションに掲げ、会計をはじめとしたクラウドERPサービスを提供しているfreee株式会社。個人事業主から中堅企業までを主なターゲットとして市場展開しており、設立僅か8年足らずで22万社を超える課金事業所数に対してクラウド会計ソフト「freee」を提供しています。また、人事労務や申告、マイナンバー管理などのサービスを展開しており、取引プラットフォームとしての機能拡張を実施しながら、スモールビジネス向けの金融サービスのプラットフォーム構築の強化を図っています。

同社では、金融機関とのAPI連携によって口座の入出金情報やクレジットカード明細情報などを取得して仕訳処理が自動でできる機能を有しています。その関係で金融庁当局や金融機関からの厳格なセキュリティチェックを受けているなど、ビジネス戦略に欠かせない施策としてセキュリティ対策は必須条件となっています。「セキュリティ推進はビジネスをドライブする重要な要素の1つ。会社設立の早い段階からCSIRTを含めたセキュリティ専任チームを設置し、セキュアな環境づくりを継続的に取り組んでいます」とCIO 土佐 鉄平氏は説明します。


このような同社においては、これまでエンドポイント対策として運用してきたシグネチャベースのアンチウイルスソフトウェアの更改時期を迎えるにあたり、従来の課題が解消できる新たな環境づくりを進めることになりました。「管理サーバのクラウド移行を前提に、社内で利用者が増えていたmacOS®を含むマルチOSへの対応が可能なソリューションを検討しました。また、エンジニアが多く在籍しているため、オープンソースが含まれたアプリケーションを個別にインストールする環境を認めていますが、シグネチャベースでは明らかに不審なものしか検知できません。シャドーITの領域に関しても、端末の怪しい挙動が検知できるEDRを中心に、エンドポイント対策を強化したいと考えたのです」とプロダクト基盤本部 PSIRT エンジニアの 杉浦 英史氏は語ります。あわせて、検知内容の原因究明や遠隔からのデバイス制御が可能なソリューションが必要だと考えていたと説明します。

選定ポイント:独自の運用ルールが実装でき、判断基準やプロセスが明確な点を高く評価

CSIRTをはじめセキュリティ専任チームを持つ同社だけに、ベンダ独自に作成されたシグネチャだけでなく、自分たちの運用に適したルールを作成し、定期的なミーティングの中でフローの確認や改修などを運用に乗せていくことが必要でした。「自分たちで運用する前提で、セキュリティチェックの自動化も含めた仕組みが自作できる環境に意味があると考えています」と杉浦氏は語ります。

複数製品を比較するうえで最も注目したのが、BlackBerry® ProtectおよびBlackBerry® Opticsでした。既存のシグネチャベースのソリューションを次世代アンチウイルスであるBlackBerry Protectに切り替え、新たにEDRとしてのBlackBerry Opticsを活用することで、同社が求める必要なプロセスが自作できる環境が可能になる点を高く評価したのです。「他社の場合、何をもって危険だと判断したかの理由が不明瞭でした。確かにツールに任せてしまえば楽そうには見えますが、我々が望んだものではなかったのです」と杉浦氏は説明します。その点、BlackBerry Opticsであれば、Pythonベースでルールが設定できるため、自分たちの環境に最適な検知ロジックを組むことが可能になると判断。あわせて、豊富なAPIを活用することで、自動化に資する環境づくりにも取り組むことができると杉浦氏は考えました。

ネットワーク遮断が可能なDevice Lockdownや脅威ハンティングができるInstaQuery、遠隔地からのログ収集やクラウドストレージへのデータアップロードを可能にするPackage Deployなど、様々な機能を持っている点もBlackBerryを高く評価したポイントの1つだと説明します。「脅威ハンティングの結果が綺麗に表示できるソリューションは他にもありますが、我々はどのプロセスが原因でそのプログラムを呼び出したのかが把握できるプロセスツリーを出して欲しかった。それが分かれば我々だけで対策することが可能です」と杉浦氏。また、InstaQueryであれば、問題のある特定のプロセスが他のクライアントにもあるかどうかの判別ができるため、何かあれば被害の大きさも見積もることができると説明します。

そこで、環境負荷に一番敏感なエンジニアの部隊からテストに参加してもらい、実際の動作についても確認をしていくことに。その結果、同社が求めるエンドポイント対策として、BlackBerry ProtectおよびBlackBerry Opticsが選ばれることになったのです。

導入効果:独自運用で検知精度が向上、金融機関にも説明可能な強固なセキュリティ環境を整備

freee株式会社様 導入事例 -  BlackBerry ProtectとBlackBerry Optics

「現在は社員のみならず、業務委託で同社にアクセスしているメンバーも含め、およそ1,000名が利用しているWindows® OSやmacOSを含んだすべてのPCにBlackBerry ProtectおよびBlackBerry Opticsを導入しています。日々の運用では、各PC内にインストールされたエージェントで検知した情報を、BlackBerryが提供しているクラウド上の管理コンソールで確認するのが基本的な運用ですが、ログに関してはAWS上のS3側にリアルタイムで展開しています。プロセスリストも毎日取得して正常に動いているものを把握し、WebブラウザのURL履歴なども取得することで端末の状況把握に努めています。資産管理としての棚卸業務などにも活用しています」と杉浦氏は同社での使われ方を説明します。

日々チケットシステムに上がってくる情報は100件ほどに及んでおり、もともとITの経験のなかったメンバーが一次SOCのような役割としてチェックし、現場からの問い合わせに対応しながら、何かあればSlackで杉浦氏に通知が寄せられます。「メンバーが日々チェックしたものを私の方でも確認していますが、日々の作業は15分ほど。CSIRTメンバーでも週次で情報を共有し、次の対策に必要なことを話し合っています」。調査すれば具体的な検知ロジックや処理フローが必ず明記されているBlackBerryのソリューションでなければ、非エンジニアが業務に携わるのは難しかったと語ります。

新たな環境に移行したことで、以前は月に数件しか検知されていなかったものが、今は100件を超えるアラートが日々検知されるなど、シグネチャベースでの運用ではここまで検知できなかったと評価します。「以前は検知数が少ない分、1度検知した時のインパクトが大きかった。実際に、ディスクを抜き出してコピーするといったフォレンジックを行ったうえで、その出所を調査するためにCSIRTメンバー全員で3日3晩かかったことも。実はBlackBerryをPoCで試していたタイミングと運よく重なったのですが、BlackBerry製品では原因究明から対策までわずか5分ほどで実施できたのです」と杉浦氏は高く評価します。

また、何かあれば即時対応が求められるCSIRTだけに、従来はアラート発生元と思われる当人が出社した段階で席まで出向き、その横で対処をしていく必要がありました。今では状況把握から影響度合いの調査までがスムーズになり、遠隔から対処できることで業務負担は大きく軽減しています。「コロナ禍において、使っていたPCを自宅に持ち帰ってよいという決断が下せたのも、新たな環境に移行できていたおかげです。現場での対処が必要な以前の環境のままでフルリモートに移行するのは、BlackBerryがなければ正直難しかったでしょう」と杉浦氏。

ビジネス的な観点からも、セキュリティ強化は重要な影響を与えています。「以前も確かに対策してはいたものの、検知が十分に行われているか不安な面もありました。今回新たな環境への移行を行ったことで、運用も含めてしっかりとした環境が整備でき、金融機関に対しても自信をもってセキュリティに関する回答が可能になったのは大きい」と土佐氏は評価します。

特にBlackBerry Opticsに関しては、先進的な取り組みとして同社がいち早く導入していたこともあり、導入段階からインテグレーターとしてのテクマトリックスによる手厚いサポートが行われています。「トライアル段階から頻繁にサポートに連絡させていただいていましたが、質問に対しての反応が早く、無駄なキャッチボールが発生しないなど、的確に対応をしていただきました。我々の高い要求に対して根気よくお付き合いいただけており、とても信頼しています。正直、逃げられたことは一度もない」と杉浦氏。様々なソリューションの一次インテグレーターとして国内展開している観点からも、テクマトリックスの高い技術力を評価しています。

今後:さらなる自動化を進めながら、対応デバイスを拡張していきたい

今後については、BlackBerryが持つAPIをさらに活用し、自動的にリスク低減できるような仕組み作りにも取り組んでいきたいと語ります。「すでにログをベースに検知からアラート通知、対処といったプロセスを自動化するPlaybookのようなものは運用しています。今後は、検知した段階で直前までのURL履歴をすべて抽出し、Elasticsearch上に展開することで調査の迅速化に貢献できる自動化の仕組みにまで拡張していきたい」と杉浦氏は力説します。

また、現状はPCを中心に対策を実施していることもあり、「スマートフォンなどのモバイルデバイスやBYOD端末への対応も可能な限り進めていきたい」と土佐氏は語ります。「証明書によるデバイス認証などの対策は実施していますが、EDRなどの振る舞い検知についてはこれからの状況です。将来的には同じ基盤のなかで統合的に管理できるようにしたい」。さらに、なりすましを防ぐためのリスクベース認証や内部からの情報の不正持ち出しへの対策としてDLPなども整備していきたいと意欲的に語ります。もちろん、社内基盤だけでなく、同社が提供するプロダクト側へのセキュリティ対策もより一層強化していく計画で、BlackBerry並びにテクマトリックスからのさらなる提案に期待を寄せています。

freee株式会社

住所:東京都品川区西五反田2-8-1
設立:2012年7月
従業員数:481名(2020年6月末時点)
業界:ソフトウェア業界

お客様担当者

freee株式会社
CIO

土佐 鉄平 氏

freee株式会社
プロダクト基盤本部 PSIRT
エンジニア

杉浦 英史 氏

お問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    第3営業部
    セキュリティプロダクツ営業2課

    03-4405-7869

メールでのお問い合わせ
cylance-info@techmatrix.co.jp
  • HOME
  • 導入事例
  • 検知しているか不安の残るシグネチャ運用からの脱却を実現 自作ルールの可視化を可能にするBlackBerry® ProtectとBlackBerry® Optics

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。