CASE STUDY 導入事例

エンドポイントへの侵入経路を特定するEDRを自社にて運用 CylancePROTECT®、CylanceOPTICS™によってエンドポイント対策強化を実現

お客様

株式会社イード様

カテゴリ

  • セキュリティ

関連サービス/製品

人々のニーズに寄り添ったメディア事業をはじめ、リサーチやECを中心としたソリューション事業を展開している株式会社イードでは、従来型のエンドポイント対策では把握できないアドウェアやスパイウェアなどの侵入ルートを可視化すべく、従来のシグネチャベースのエンドポイント対策を刷新しました。その際、セキュリティ対策の運用負担軽減や高い検知率を誇る「CylancePROTECT®」とともに、エンドポイントの検知やその調査、対応が可能なEDR機能「CylanceOPTICS™」を採用しています。

株式会社イード
課題と効果
  • 導入のきっかけ
    • 既存アンチウイルス製品のパターンファイルの更新が遅く、サーバ管理の負担も増加していたなかで、エンドポイント対策の更改を迎えた
    • アドウェアやスパイウェアの侵入経路が可視化できる仕組みも含めて、エンドポイント対策の強化を目指すことになった
  • 環境
    • 基幹システムを稼働するサーバやファイルサーバ、従業員が利用するクライアントPCに適用
  • ソリューション
    • CylancePROTECTおよびCylanceOPTICSを導入


■課題:サーバ管理の負担が増加、侵入経路が特定できる環境が必要に

「We are the User Experience Company.」を企業理念に、すべての人に最高の「ユーザー体験」を提供することを目指している株式会社イード。ITや自動車、教育、映画、ゲーム、アニメなど各分野に特化した20ジャンル60サイトのメディア・サービスを運営するメディア事業をはじめ、さまざまな調査手法からお客様のニーズに最適な調査を行うリサーチ事業、大規模なECショップにも対応可能なECサイト構築ASPサービスなどのメディアコマース事業を展開しています。特にメディア事業では、話題のキーワードを背景にその時代に求められるメディアを次々と立ち上げるなど、より専門性のあるメディア展開が大きな特徴となっています。

そのような同社では、以前からシグネチャベースのアンチウイルスソフトウェアを導入し、オンプレミス環境に設置された管理サーバにて運用していましたが、アップデートの処理やサーバ自体の管理負担の課題が顕在化していました。「管理サーバのアップデート情報を自ら確認しに行く必要があり、処理が遅れてしまうなど管理面での負担が大きくなっていました」と管理本部 情報システム部 次長 馬場 淳一氏は当時を振り返ります。

数多くのメディアを運営するなど、一般企業に比べて事業領域が幅広いだけに、ガバナンス面で制限を強めるよりも、可能な範囲で自由にシステム利用できる環境づくりを念頭に置いている同社。業務上必要なツールをある程度自由にインストールできる環境だったことで、マルウェア感染などセキュリティインシデントにつながりかねない状況も想定されました。「ダウンロードしたときは問題なくとも、数日後にマルウェアが検出され、削除されるということが実際に発生しています。実害はなかったものの、アンチウイルスソフトウェアのパターンファイル更新が遅いなど、対応が後追いとなっていたことも課題の1つでした」と語るのは同部 稲澤 将紀氏です。

また、マルウェアとは判断されないアドウェアやスパイウェアが実際に侵入するケースも見受けられました。「業務上不都合がある場合は、再インストールしてクリーンな状態にPCを戻すといった対応をとっていましたが、数週間経つと再び同じような事象が発生してしまうこともありました。同様の事象を起こさないような対策を立てるためには、どのような経路でPC内に入ってきたのか、その原因を把握する必要があると考えたのです」と馬場氏は説明します。

このような運用が続くなかで、既存のエンドポイント対策の更新期限が近付き、コスト面も考慮し、新たな環境への入れ替えを決断。今までよりも運用負担が軽減でき、アドウェアやスパイウェアの侵入ルートが特定できる環境へ刷新することを計画しました。

■選定ポイント:自前で運用できるEDRが魅力、アンチウイルスと統合運用できる点を高く評価

当初は、導入していた次世代ファイアウォールからログを収集し、侵入経路の分析に役立てようとしたものの、エンドポイントの動きまでは十分に把握するのが難しい状況でした。そこで、エンドポイントのログ収集が可能なEDRソリューションを主に調査しながら、同時に従来のシグネチャベースに代わる新たなエンドポイント対策を模索した馬場氏。その際に出会ったのが、人工知能と機械学習の技術を駆使することで高い検知率を誇る「CylancePROTECT」、そしてエンドポイントにおける迅速なインシデント検知と調査、対応が可能な「CylanceOPTICS」だったのです。

実は、多忙を理由にシグネチャ更新を止めてしまう従業員が一定数存在しているなど、更新作業に負担を感じる現場もありました。従来のアンチウイルスソフトウェアの置き換えとなるCylancePROTECTであれば、日々のシグネチャ更新が不要となり、高いレベルでセキュリティが負担なく維持できるようになると判断。また、EDRについては、分析や監視のサービス含めての契約が必要になる製品が多く、高額になってしまうケースもあったといいます。「侵入経路を特定するだけのために、そこまでの費用をかけるのは難しい。もちろん、振る舞いをしっかり分析してもらうことが一番良いものの、最初から大きな投資は避けたいと考えたのです。」その点、CylanceOPTICSであれば、ある程度自前での運用が可能であり、馬場氏が求めていた侵入経路の可視化に最適なソリューションだと考えたのです。

さらに、エンドポイント対策としてアンチウイルスソフトウェアとEDRソリューションを統合して利用できる環境も選定ポイントの1つに挙げています。「個別のベンダ製品を選んだ場合、それぞれ別のインターフェースで管理せざるを得ません。少数精鋭で運用していることもあり、シームレスに負担なく利用できるものが我々の理想でした」と馬場氏は評価します。

導入前には、Windows内のサンドボックス上で危険と思しきファイルをダウンロードして検知状況をチェックするなど、稲澤氏が評価テストをしっかりと実施し、従来の仕組みよりも高い確率で検知、駆除が可能な点を確認しました。結果、セキュリティの運用負担軽減と侵入経路特定に役立つ新たなエンドポイント対策として、CylancePROTECTおよびCylanceOPTICSが選ばれることになったのです。

■導入効果:運用会議で侵入経路を共有、運用負担軽減と古いアドウェア検知も可能に

現在は、Windows OSやMacOSなどが混在したクライアントPCをはじめ、基幹システムやファイルサーバといった各種エンドポイントに対して「CylancePROTECT」および「CylanceOPTICS」を展開しており、東京オフィスと開発拠点の松江ブランチ、そしてサーバを展開するデータセンター含め、トータルで250ほどのライセンスで運用しています。 実際の運用については、管理画面で日々レポートをチェックしながら、月次で開催している運用会議にて検知の状況報告やCylanceOPTICSで得られた情報を分析しながら、侵入ルートの確認を実施し、必要に応じて従業員へ指導するといった活動に役立てています。また、マルウェアの情報がナレッジとして蓄積されているVirusTotalへのリンクを確認するなど、外部リソースも活用しやすい状況にあると説明します。

ちょうどWindows 10への移行を行った関係で、クライアントPC側の処理速度は以前とは比較できないものの、以前のように定期的なフルスキャン運用もなくなり、快適に活用できていると従業員の反応も上々です。「実際にログ分析してみると、ある特定の言語圏のサイトからダウンロードしたアプリケーションから高い確率でアドウェアやスパイウェアが検知されていることが分かり、本人および上長に注意するといった対応ができます」と稲澤氏は評価します。実際に検知した場合は、ポップアップで従業員に通知するなど、セキュリティの意識を高めることにも役立っています。

管理面では、これまでOS変更時にアンチウイルスソフトウェアのアップデートがうまくいかない事態が頻発していましたが、今では環境が変化しても安定して動作しています。万が一何かトラブルが発生しても、BlackBerry Cylance上のFAQやフォーラム内で自己解決できることが多く、運用負担の軽減につながっていると稲澤氏は評価します。「Azure Active Directoryと連携することで、管理画面にもシングルサインオンで簡単にアクセスできるのはありがたいです」

以前は検知されなかったアドウェアなどがCylancePROTECTによって見つかるようになっただけでなく、新たなリスクの発見にもつながっているといいます。「安全だと思われていたファイルサーバ内には、数年前に取得したバックアップデータが残っていますが、そこに脆弱性のあるファイルが長い間潜んでいました。今まで見えていなかったリスクが可視化できたのは大きいです」と馬場氏は評価します。

今回、BlackBerry Cylance製品の導入については、新たなエンドポイント対策を模索しているなかでテクマトリックスから紹介を受けたのがきっかけでした。「実際の提案から技術的な質問に対する回答など、さまざまな形で支援をいただいています。テクマトリックスで開催されているセミナーにもメンバーが参加させていただくなど、色々な形で情報も提供いただいています。特に検証段階ではマニュアルをお借りしながら、何か問題があればすぐに回答いただけるなど、手厚く対応いただきました」と馬場氏。BlackBerry Cylanceに関するノウハウを蓄積している点を高く評価しています。

■今後:APIによる外部連携とともに、EDRでの検知から対応までのプロセス確立へ

今後については、社内の環境だけでなくサービス提供に利用しているサーバへの展開を検討しながら、データを蓄積することでセキュリティレベル向上につながる活動に利用していきたいと語ります。「社内で運用している次世代ファイアウォールとのAPI連携によって、検知後に幅広い対処ができるような環境を整備してみたい」と稲澤氏。また、APIを活用して同社独自のダッシュボードを構築するなど、使い勝手をさらに高めていきたいと意気込みを語ります。

また、CylanceOPTICSが持っている機能をフル活用し、現状の分析から検知後の通知、そして対処までの仕組みもいずれは実装していきたいと期待を寄せています。「現状はCylanceOPTICSを使って侵入経路の分析を行っていますが、ディテクションルールなどを駆使して、特定の検知があれば通知するような仕組みも整備していきたい。もちろん、対処までできれば理想ですが、まずは通知するところのルールを定めていきたいですね」と馬場氏に語っていただきました。

株式会社イード

住所 東京都新宿区西新宿2-6-1 新宿住友ビル28階
設立 2000年4月
事業内容 メディア事業、リサーチ事業、メディアコマース事業

お客様担当者

株式会社イード
管理本部 情報システム部
次長

馬場 淳一 氏

株式会社イード
管理本部 情報システム部

稲澤 将紀 氏

お問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    第3営業部
    セキュリティプロダクツ営業2課

    03-4405-7869

メールでのお問い合わせ
cylance-info@techmatrix.co.jp
  • HOME
  • 導入事例
  • エンドポイントへの侵入経路を特定するEDRを自社にて運用 CylancePROTECT®、CylanceOPTICS™によってエンドポイント対策強化を実現

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。