DAY3の事例紹介では、山梨県総務部情報政策課 矢崎氏と高野氏が登壇し「猫（プロテクトキャット）と過ごした700日。」と題した講演を行った。

はじめに高野氏は「猫とはプロテクトキャットのことである」と説明。実際に山梨県庁に導入してからだいたい700日経過しているという。プロテクトキャットは、エムオーテックスが提供するLanScope Catの外部脅威対策機能で、AIアンチウイルス「CylancePROTECT」を検知エンジンに採用している。今回は、プロテクトキャットを導入するまでの経緯や、プロテクトキャットを選んだ理由、導入後の状況について語った。

導入前に抱えていたマルウェア対策の課題

2015年に総務省からセキュリティ対策の抜本的強化の方針が打ち出され、山梨県庁でもネットワークの分離に取り組んでいくこととなる。ネットワークの分離は自治体にとって大きな分岐点になるとしたうえで、それ以前に導入していたマルウェア対策ツールの課題について説明した。

まず課題となっていたのが、マルウェアを発見したあとの侵入経路の把握だという。当時は資産管理やアンチウイルスなど目的ごとに複数のツールを導入していたため、それぞれのログを組み合わせて解析する必要があった。実際、過去にマルウェアを発見した際には該当部署のネットワークを遮断し、特定作業に数日間かかり業務に支障が出てしまった例もあったそうだ。

また、パターンファイルの適用に時間と手間がかかっていた点も課題だったという。パターンファイルは年を経るごとに配信ファイルが大きくなるため、配信時のネットワーク負荷も大きくなり、クライアントに求める性能やコストも増加していたという。

ネットワーク分離の環境で安全かつ効率的な運用が可能なシステムを検討

さらに、ネットワーク分離が始まると「インターネットに繋がっていない状況で、どのようにマルウェア検知のパターンファイル更新をすべきか」という課題がでてきた。限られた時間で試行錯誤している中、マルウェア対策は今までとは異なり「インターネットと分離しているシステムであること」を前提としたマルウェア対策をしなければいけないという考えに至ったという。

「そこで、セキュリティ対策面で効果があり、かつ運用管理面で効率化が可能なシステムの導入を目指すことにしました」（高野氏）

高野氏はネットワーク分離の前からCylancePROTECTの存在は知っていたという。「AIでマルウェアを探す機能や海外での実績や評価が高いという点が気になっていました。そこで、現行ツールの入れ替えを検討していく中で、現行ツールとCylancePROTECTを検知率や費用、運用管理負荷などの観点で検討していました」（高野氏）

検討を進める中で、CylancePROTECTの国内唯一のOEM製品であるプロテクトキャットの存在を知った。「プロテクトキャットであれば、CylancePROTECTのマルウェア検知とLanScope Catの操作ログ管理機能を連携し、マルウェアを検知してから端末や経路を特定することが簡単にできるということで、我々のニーズに非常にマッチしていました」（高野氏）

PCの更新に合わせてプロテクトキャットを導入し、マルウェア対策ツールを刷新した。高野氏は、「検知率が高く、毎日のパターンファイルの更新が不要のため、ネットワークやPCの負荷が軽減されました」と語り、検知率の高さだけではなく、運用面も考慮して導入に至ったと説明した。

環境に合わせたホワイトリストを作成し段階的に導入

プロテクトキャットの導入が決まったものの、すぐに利用できたかというとそうではなかった。「しばらく時間をかけてチューニングが必要でした」（高野氏）

具体的な課題としては、問題のないファイルまでマルウェアと判定してしまった点をあげた。その課題に対してPoCを使って検証を実施。その結果からホワイトリストを作成し実環境に導入するという対応を行った。そのためスモールスタートしていくことが重要だと高野氏は述べた。「ホワイトリストへの追加対応や随時問い合わせが入るため、対応しきれる規模で段階的に導入を進めました」（高野氏）

また導入準備を進める中で、購入して終わりではなく導入サポートの重要さを改めて感じたという。

インターネット分離という新たな挑戦をするにあたり、どのようにネットワーク管理をしていくのか、端末管理には、LanScope Catとアクティブディレクトリをどのように使い分けるのが良いのか。エムオーテックスのサポートに対して細かく要望を伝えながら進めたという。

プロテクトキャット導入の結果、管理工数や運用負荷は激減

プロテクトキャット導入後は想定したほどはマルウェアが見つかっていないという。「ネットワーク分離の無害化処理により、マクロやプログラムファイルを含むファイルが遮断されているためだと考えています」と高野氏は説明した。

ただマルウェアの検知は少ないものの、運用面では大きな効果を感じているという。高野氏は「プロテクトキャット導入の結果、管理工数や運用負荷は激減しました。パターンファイル更新の手間も無くなり、ネットワーク遅延も解消しましたし、PC負荷も小さくなり、業務アプリケーションへの支障もなくなりました。以前のマルウェア対策と振る舞いツールを利用していた頃と比較して誤検知や過剰検知が大幅に減少しています。」と説明。改めて従来のツールでは、誤検知などの対応が面倒で運用負荷が大きかったと認識しているという。

また運用していく中でセキュリティ対策に対する考え方にも変化があったという。

「攻撃側の技術が巧妙化していく中で完全防御には限界があると感じたました。大事なのは状況を正確に把握すること。その際に管理負荷がかからないこと。被害拡大防止や業務復旧を迅速かつ確実に対応することを目指していくべきだと考え感じています」（高野氏）

インターネット接続を前提としたEDRの検討

総務省からの指導で実施したネットワーク分離について、矢崎氏はセキュリティリスクを下げる意味では効果を感じているが、一方で住民や業者との情報のやり取りの面では業務効率が低下するといった課題があったと語った。

そのような課題に対して、現在総務省からはセキュリティ対策の新しいガイドライン案が示され、インターネット接続を主業務とする新しい環境を想定しての検討が始まった。この対応によって、業務効率の課題は解消できるが、新たにセキュリティリスクが増加することへの対応が必要になるという。

「今後はEDRなどのツール導入も検討していますが、ツールを増やすことで運用負荷が激増しないように、プロテクトキャットのEDRオプションの導入を検討しているところです。」と矢崎氏は話す。EDRについては周囲の自治体でも導入事例がないため、運用管理手順の構築や異常検知時の対応手順がどのようになるかなど、万が一の際、情報流出や被害拡大の防止・連鎖的二次被害をどう防ぐかを軸として慎重に検討をしている状況だという。

また、山梨県庁では職員の在宅勤務やリモートワークを2019年から試行的に運用しており、今後は貸出端末だけでなく、個人所有端末の活用も視野に入れている。

矢崎氏は、「災害時やBCPを考慮し、個人所有端末でも安全に活用することも検討しています。そのためPC・スマホを一元管理できるクラウドIT資産管理・MDMのLanScope Anを組み合わせた運用も検討中です。」と述べて講演を締めくくった。