| Cat機能構成 | |||
|---|---|---|---|
| マルウェア対策 | 操作ログ管理 | IT資産管理 | ソフトウェア資産管理 |
| Webアクセス管理 | ファイル配布 | サーバー監視 | Webフィルタリング |
Build Happy Internet Life。インターネットの安心・安全を実現すべく、掲示板等の投稿監視サービスからスタートしたイー・ガーディアンは、2016年9月に東証マザーズから東証一部へ市場変更。現在ではカスタマーサポートサービスや広告オペレーション事業など積極的な事業拡大を行い、「総合ネットセキュリティ企業」を目指している。
そして、お客様のインターネット環境を守るためには、同時に自社のセキュリティを守ることが事業継続を行ううえで必須の課題である。そこで、エムオーテックスが今年7月に提供を開始した次世代型マルウェア対策「プロテクトキャット Powered by Cylance」の導入を決断。その経緯について、イー・ガーディアン株式会社 代表取締役社長 高谷 康久氏、情報システム部 ディレクター 高橋 輝雄氏にお話を伺った。
ホームセキュリティの分野では様々な警備会社があるように、インターネットセキュリティの世界でも同じように安心・安全を守るための存在、それがイー・ガーディアンである。
「我々はネットの投稿監視から始まり、ゲームの監視・ECの誇大広告監視サービスなど、インターネット環境を守るサービスに特化をしてきました。そしてこれからもサイバーセキュリティ分野も含めてインターネットの安心安全を追及していきたいと思っています。家の玄関には警備会社のシールが貼られていますが、最終的には各サイトにイー・ガーディアンのマークを貼って頂き、それらのサイトは私たちが守っているといったブランド化を目指していきたいですね。」(高谷氏)
代表取締役社長 高谷 康久 氏
「インターネットの警備会社」を目指し積極的に事業拡大を行っているが、同時に自社のセキュリティについてもこれまで以上に強化を図っているという。それにドライブをかけるきっかけになったのが2016年9月の東証マザーズから東証一部への市場変更だったと高谷氏は語る。
顧客の中には有名なサービスを提供しているお客様も多く、過去にはそのサポートをしているという理由から悪意をもって狙われたり、取り締まられたことでの逆恨みによる風評被害、また手の込んだ技術的な攻撃を受けることも少なくないという。
「マザーズは新興企業というイメージがありますが、東証一部になったことで信用・信頼を得ることができたと感じています。と同時に、インターネットの安心・安全をうたっている以上、私たちが事故を起こすとお客様に多大なるご迷惑をかけることになりますし、会社にとっても致命傷となってしまいます。事故を起こさないようにプラットフォームを強化することは情報システムのミッションでもありますが、経営者としてのミッションでもあると考えています。」(高谷氏)
従来からLanScope Catを活用したPC操作ログの取得、USB記憶媒体の使用禁止など様々な対策は行っているが、ネット監視という業務では不正と思われるサイトを閲覧することも多く、危険と分っていても閲覧を禁止することはできない。 そんな中、一般に知られているように2015年頃からスピアフィッシングが増え始め、これまでの対策だけでは防ぎきれない可能性が有ることに危機感を募らせていたと高橋氏は振り返る。
「数年前から既存のアンチウイルスソフトの検知率は一般的に3~4割といわれていましたし、次に出てきたふるまい検知についても"ふるまわない"と検知できないことに疑問視していました。ちょうどその頃にエムオーテックスさんのセミナーでエンドポイントの新たな外部脅威対策ソリューションがでるという案内を頂き、すぐに導入の検討を始めました。」(高橋氏)
イー・ガーディアンでは、インターネット上に散在する画像の中に不適切なものがないかを自動で判別することができる「ROKA SOLUTION」というサービスを提供している。ディープラーニングを用いたこのサービスは東京大学と共同で研究開発したもので、検知率は99.5%以上だという。以前は目視で画像を確認していたが、時間もコストも非常にかかってしまうため生産性の悪さが課題だった。しかしこの製品開発により、生産性は飛躍的に向上。ディープラーニングの技術の凄さをすでに体感していた高橋氏は、プロテクトキャットのセミナーに参加しアンチウイルスの世界でも同じようにディープラーニングを使ったソリューションだということで、「コレだ!」と思ったという。
ディープラーニングは極論、「なぜその結果になるのか」を言語的に説明することはできない。故にディープラーニングを使った製品と言ってもなかなか理解を得ることが難しいが、自社製品を通じてそのあたりを理解していた高橋氏だからこその判断ができたのだろう。
「パターンマッチは説明できるが故に突破できる。逆にディープラーニングは説明ができない。故に突破できないということだと思います。」(高橋氏)
では、導入にあたり経営陣に対してどう説得したのだろうか。
「製品の機能説明をしたというよりは、なぜこの製品が必要なのかを理解してもらうことに注力しました。具体的には、Fromを社長の名前にして、見た目の文字列とリンク先が異なるリンクを貼ったフィッシングメールを作って、これが送られてきたときに開かない自信はありますか?と社員や役員に見てもらいました。外部からのメールであれば開かないように気をつけることは出来ますが、本当に狙われたらこのような巧妙なものが送られてくるということを理解してもらい、決裁をえることが出来ました。」(高橋氏)
社内には800台近いPCがあるが、プロテクトキャットのエージェント展開は非常にスムーズに終わり、導入後もトラブルなく運用を開始しているという。
では導入前と導入後ではどのような変化があったのだろうか。
導入後、マルウェアは見つからなかったが、PCのインターネット一時ファイルやごみ箱などから、アドウェアが複数見つかったという。
「弊社の従業員がルールを守っていたことにより結果として大きな被害は発生していないわけですが、人間の行動にはやはり絶対は無く、システムでそれをサポートすることが当然必要です。これらのファイルはこれまでの既存製品ではもちろん見つけられませんでしたし、振る舞い型の製品も動作しないと検知できません。プロテクトキャットは静的解析(ファイルの要素を解析)をしてくれところがうれしいですね。また、過検知も非常に少なく、現在は隔離モード(検知した場合は自動的に隔離)での運用に切り替えていますが、業務影響もほとんど出ていません。」(高橋氏)
情報システム部 ディレクター 高橋 輝雄 氏
また、Catの操作ログで前後操作を確認できるようになったことも大きな変化だという。
「我々の仕事はお客様の代わりに不正なサイトを見ることが仕事です。ですから、怪しいサイトは見るな、リンクはクリックするな、添付ファイルは開くな、では業務が止まってしまうわけです。感染してしまった場合に直前に何をしていたのかと確認をしても、通常の業務をしていました・・となるわけですし。また最近では広告を表示しただけで感染するタイプもありますので、感染しても原因特定が出来ないという状況でした。
プロテクトキャットはマルウェアを実行前に検知し隔離するだけでなく、Catで取っているログを見ることで、感染した直前の操作を確認することができるようになったことは大きいですね。製品によってはシステムログを含め膨大なログを取得するものもありますが、Catのログは人の操作に特化しているというのも非常にありがたいですね。ほとんどの場合が人の操作に起因するものですから。」(高橋氏)
一般的に不正ソフトウェアの侵入を許すとその調査を外部に委託した場合、初動としてどんなマルウェアか、どの端末に感染しているのかを調べるだけで最低500万円はかかってしまう。それだけではない。
「例えば20台の感染がわかり何らかの方法で原因が特定できたとしても、それらのパソコンはおそらく初期化することが必要になるため、その間業務停止せざるをえません。ツールを使い1台1時間としても20時間の作業となります。おそらく2名で2日間対応が必要です。対象がファイルサーバーだった場合は、バックアップを戻す作業だけで最低半日、設定などの作業を考えると数日はかかることが想定できます。調査にかかる初期費用に加え、作業費や人件費、業務停止期間の機会損失、またインシデントが起こると対応のために幹部を含めたミーティングなども行う必要がでてきます。これらの費用を換算するとたった一つのインシデントから最低でも1千万円近くなり、それがさらに企業の規模に比例して大きくなる。経営に与える金額のインパクトは限りなく大きいですよね。」(高橋氏)
システム導入となると、導入費用に目がいきがちだが、高橋氏はここまでしっかりと想定できているからこそ、積極的な投資に踏み切れるのだろう。今後は、これまで使用していたアンチウイルス製品をやめプロテクトキャットだけの運用に切り替えていく予定だという。
情報システム部門は現在8名の体制で、そのうち4名が自社のセキュリティ対策にあたっている。日々の運用としては、週に2回、トータル2時間程度でLanScope Cat Webコンソールのセキュリティカレンダーを確認している高橋氏。キーワードをかなり広範に設定しているためアラームの数は数千件出ているとのことだが、これまでの内部リスクのアラームに加え、外部リスクもカレンダーに表示されるので、ポイントを絞って確認をしているとのこと。
【LanScope Cat Webコンソール画面】
「数千件あったとしても、継続して確認していると、このパターンはチェックしなくてもいいな。などとノウハウがたまってくるので、今は効率的にチェックできるようになりました。」(高橋氏)
100点を目指すと現実とのギャップに挫折してしまうことも少なくないが、最初から100点を目指すのではなく、まずは50点を目指す。ダメなら勇気を持って一旦ハードルを下げ、1つ1つレベルアップさせていくことが着実に結果を出していく秘訣だと高橋氏は語る。
一昔前までは、1つのやり方をしていればよかったが、ITが急速に進化する今、情報システム部門としても変化をしていかなければならない。しかし、変化を嫌う組織もある。自分たちの上の世代、そしてITネイティブな自分たち世代、そして今後入ってくるWebネイティブな世代がいる中、自分たちが中心となって意識を変えていきたいと、高橋氏の志は高い。
「技術的な話は情シス内でやっていればいいんです。例えば経営陣に伝えるのであれば、ITのリスクが経営のリスクであることをいかに伝えるか。社員であれば、いかにわかりやすく伝えるか。相手の立場に立って考えることが、全社を巻き込んでいくポイントですね」(高橋氏)
情報システム部門としての課題は尽きないというが、今後も高橋氏の活躍に期待したい。
