AIを活用した次世代型マルウェア対策ソフトとMDRサービス導入により、有事に備えた体制を整備
因幡電機産業株式会社
- 導入製品/サービス…
- CylancePROTECT® / CylanceOPTICS®
|
|
|
「セキュリティ対策に手軽、簡単、楽はない。運用含め専門的知識が必要なので、ツールとナレッジを有効利用できる体制が、情報セキュリティを守り維持する基盤であると感じています」
管理本部情報システム部 システム企画課長 藤幹 昌宏 氏
課題/背景
- セキュリティ対策の運用負荷が常に高く、設定や操作の不備やコスト対効果に不安があった
- 実際にマルウェア検知率を既存のパターンマッチングソフトの環境で検証したところ、わずか15.3%の検知率だった
対策
- AIを活用することでマルウェアに先手が打てる安心感と運用負荷の軽減を期待しBlackBerry Protectを導入
- 100%の検知は難しいことから有事に備えEDR製品のBlackBerry OpticsとMDRサービスを追加導入
- 上申はコスト対効果よりも、検討製品が優れている点を可視化、定量化し、わかりやすい表現で伝えることを意識
効果
- AIを活用した検知により、従来後手でしか検知できなかった脅威も見つかるようになった
- 有事の際、既存のパターンマッチングソフトでは対応できなかった早い段階での検知や隔離の対応ができたほか、MDRサービスによるナレッジの指南も役に立った
導入
因幡電機産業では従来のセキュリティ対策を強化すべく、AI技術を採用しマルウェア対策に先手が打てるBlackBerry Protect(現:CylancePROTECT)の導入に踏み切りました。セキュリティ対策は運用が煩雑で、コストに対しリスクが低減されているのかという漠然とした不安を背景に、既存のパターンマッチングのソフトの代替として経営層へ上申しました。その際、費用対効果よりも、適正価格は会社それぞれであるとの考えから、何が優れているかをできるだけ分かりやすい表現にしながら、可視化、定量化を意識して伝える工夫をしました。
藤幹氏:このソフトが未知のファイルもAIが判定することについて、「従来の製品では前科者しかわからない。でもこのソフトならば、前科者でなくても、例えば変装や整形をしても、不審な行動をしたら見つけることができる」と説明しました。また、マルウェアの検体を既存のパターンマッチングでの環境とBlackBerryの環境でチェックしたところ、パターンマッチングでは15.3%とあまり検知ができていなかったのですが、BlackBerryは99.7%を検知した、といった可視化、定量化した情報を伝えました。
|
運用と展開
こうして導入が決定。運用は当初、BlackBerryがマルウェアもしくはそれらしいものを検知する「アラートモード」で脅威を都度確認。ブラックリストとホワイトリストに振り分けてリストの精度を上げた後に、今度は「自動隔離モード」で申告のあったソフトや誤検知、過検知をホワイトリストに振り分けていくようにしました。
藤幹氏:これにより従来検知できなかった脅威も見つかるようになったほか、社内に公示していたインストール可能なソフトの一覧が形骸化しがちだったのも、BlackBerryの判定に任せることでやめることができたのが利点でした。
藤幹氏:これにより従来検知できなかった脅威も見つかるようになったほか、社内に公示していたインストール可能なソフトの一覧が形骸化しがちだったのも、BlackBerryの判定に任せることでやめることができたのが利点でした。
EDR製品、MDRサービスの追加導入とEmotetの猛威
このように、BlackBerry Protectの導入で安心感が確実に増して運用負荷も軽減できましたが、検知率は100%ではないことも重視していました。振る舞い検知やEDR、SIEMなど、別のソリューションを導入すると運用項目が増えてしまうので、BlackBerry OpticsというEDR製品と、MDR(Managed Detection and Response)サービスの追加導入を決めました。しかし、まもなく社会問題にもなっていたEmotetが猛威を振るいました。因幡電機産業でも、知り合いを装ったメールを多数受信し、多くの社員から誤って開封してしまったという連絡がありました。
藤幹氏:ファイヤウォール側で疑わしい通信のログがあり常時監視すると、他の複数台の端末からも同じようなログが見つかり、もはやパソコンのEmotetの感染がどうなっているのかわからない状態になりました。
そこでアシストに連絡し、BlackBerryツールとMDRサービスの両面で早急な取り計らいを依頼。MDRサービスではBlackBerryの自社テナントの状況から、感染状況の把握と検知できなかった一部のEmotetの駆除方法、次の対応として今後安全に継続運用するために必要な作業内容が提示されました。
藤幹氏:ここで、運用の「楽」が難しいことをつくづく感じましたが、すり抜けてしまったとはいえ、他のソフトだったらさらに感染が拡大していたのではないかとも考えています。後で確認できたのですが、Emotetは他社のメジャーなソフトでも多くが判定できていませんでしたし、パターンマッチングではパターンファイルを待ってそれを適用する工程が必要なところ、BlackBerryではファイルを特定できればハッシュ値のブラックリスト登録により隔離ができ、振る舞いによるバックグラウンド制御もできました。またMDRサービスでは、対応や設定見直し、チューニングといったガイドにより、状況把握と対応の両面で役に立ちました。相談できなかったら、ファイヤ・ウォールのログの通信からしか検知できず、被害が特定できなかったと思います。
因幡電機産業では今でも検知駆除は標準設定で自動に任せるのではなく、都度隔離リストへ登録したり、定期的にリアルタイムのスキャンを実施したり、設定の都度見直しを日常の運用の中に取り入れています。
藤幹氏:いざという時への備えとして、ツールだけではなくMDRというナレッジを有効利用する体制もセキュリティを維持する基盤になっています。セキュリティ対策は進化しなくていけません。これからも、BlackBerryOPTICS、MDRと全社展開を進め、有効な対策を打ち続けていきたいです。
藤幹氏:ファイヤウォール側で疑わしい通信のログがあり常時監視すると、他の複数台の端末からも同じようなログが見つかり、もはやパソコンのEmotetの感染がどうなっているのかわからない状態になりました。
そこでアシストに連絡し、BlackBerryツールとMDRサービスの両面で早急な取り計らいを依頼。MDRサービスではBlackBerryの自社テナントの状況から、感染状況の把握と検知できなかった一部のEmotetの駆除方法、次の対応として今後安全に継続運用するために必要な作業内容が提示されました。
藤幹氏:ここで、運用の「楽」が難しいことをつくづく感じましたが、すり抜けてしまったとはいえ、他のソフトだったらさらに感染が拡大していたのではないかとも考えています。後で確認できたのですが、Emotetは他社のメジャーなソフトでも多くが判定できていませんでしたし、パターンマッチングではパターンファイルを待ってそれを適用する工程が必要なところ、BlackBerryではファイルを特定できればハッシュ値のブラックリスト登録により隔離ができ、振る舞いによるバックグラウンド制御もできました。またMDRサービスでは、対応や設定見直し、チューニングといったガイドにより、状況把握と対応の両面で役に立ちました。相談できなかったら、ファイヤ・ウォールのログの通信からしか検知できず、被害が特定できなかったと思います。
因幡電機産業では今でも検知駆除は標準設定で自動に任せるのではなく、都度隔離リストへ登録したり、定期的にリアルタイムのスキャンを実施したり、設定の都度見直しを日常の運用の中に取り入れています。
藤幹氏:いざという時への備えとして、ツールだけではなくMDRというナレッジを有効利用する体制もセキュリティを維持する基盤になっています。セキュリティ対策は進化しなくていけません。これからも、BlackBerryOPTICS、MDRと全社展開を進め、有効な対策を打ち続けていきたいです。
- ※BlackBerry Protect /BlackBerry Opticsは、 CylancePROTECT®/CylanceOPTICS®の旧サービス名です。
- ※本事例は取材時の内容に基づくものです。
- ※製品内容は、予告なく変更される場合があります。
- ※記載されている会社名、製品名は、各社の商標または登録商標です。
お客様情報
※お客様情報は取材時の内容に基づくものです。
創業・設立 | 1938年4月創業・1949年5月設立 |
---|---|
URL | https://www.inaba.co.jp/ |
従業員数 | 2,643名(2022年3月31日現在) |
取材日 | 2022年5月 |
関連製品/サービス
CylancePROTECT® / CylanceOPTICS®
CylancePROTECT とCylanceOPTICSは、AI(機械学習)により「既知」「未知」問わず高い検知率でマルウェアを防御。運用効率の大幅な向上も期待できる、次世代のマルウェア対策ソフトウェアです。
- 機械学習による圧倒的な検知率
- マルウェア実行前に検知、ランサムウェア対策にも有効
- PCパフォーマンスに影響しない軽量なスキャン
- 2024.5.30アシスト、SaaS横断検索×チャット機能のAIアシスタント「Glean」で顧客サポート業務の高度化を実現
- 2024.5.20エア・ウォーター、グループ企業の経営情報を管理する基幹システムをOracle Cloud Infrastructureで刷新
- 2024.3.25日本オラクルとアシスト、エネルギー会社の全社データ利活用基盤をOracle Cloud Infrastructureで刷新
- 2023.6.27UQコミュニケーションズ、Oracle Cloud Infrastructureで事業継続性を強化
- 2023.6.15南相馬市、ネットワーク強靭化のリプレースに「InterSafe WebIsolation」を採用