1979年に設立された二木ゴルフは、もとは二木の菓子のゴルフ事業部から始まったゴルフ用品専門店。
創業以来、一貫して「顧客第一主義」を掲げ、最近ではデータを活用し、個人にあったクラブのフィッティングサービスの充実に力を入れている。また、購入後のメンテナンスに至るサービスの高度化にも取り組んでいるところだ。

同社の情報システム課は4名体制で、このうち2名が主に店舗のコールセンター業務に携わり、野口氏を含む残り2名で、社内の業務アプリのスクラッチ開発や複合機、電話、携帯電話に至るまで、社内のIT、ネットワーク全般の運用を担当している。

「LanScope Cat」は、野口氏が情報システム課に着任した2009年当時にはすでに導入されていたという。

「2006年くらいに導入しており、私の着任後に保守更新のタイミングの案内が来ました。そこで、“担当者引き継ぎフォローサービス”を利用してトレーニングセミナーを受講し、製品に対する認識を深めました」（野口氏）

野口氏の着任後、いくつかのソフトは更新時期のタイミングとなり、同時に基幹システム刷新のタイミングを迎えていたため、オフコンからオープン系のシステムへの移行が進む中で、優先順位の低いソフトは見直しの対象となっていた。

そのなかで、LanScope CatについてはMOTEXのサポートからのコンタクトによって、製品の機能や価値を再認識する機会を得たことで、契約更新の判断をすることができたと野口氏は振り返る。

同社の2010年当時のサイバーセキュリティ対策は、エンドポイントのセキュリティソフトとLanScope Catを組み合わせた「予防的対策」をメインに実施していた。

▲ 経営企画室 情報システム課 マネジャー 野口 卓氏

野口氏によると、当時は「今ほどサイバーセキュリティは重要視されていなかった」時期で、その後、Windows XPやWindows Server 2003のサポート終了のタイミングが相次いだため、IT予算は増加傾向の時期でもあった。

そこで、サイバーセキュリティ対策の投資の最適化と、業務可用性のバランスを考え、同社では2012年頃から2015年にかけて、「発見型」のセキュリティ対策を行うよう仕組みを整備していった。

その頃より、標的型攻撃の脅威が顕在化していたため、WAF（Web Application Firewall）やネットワーク型のサンドボックス製品を中心とした対策を模索したのだ。ただし、「エンドポイントに関しては、アプリケーションの稼働ログなど、LanScope Catでなければ取得できないログがあったため、引き続きLanScope Catを活用していく必要があった」と野口氏は語ってくれた。

サイバーセキュリティに対して「自分たちで全部を防御するのには限界がある」と野口氏は話す。特に、リソースに限りのある中小企業の場合、「ベンダーのサポートは必須」であり、そのときに保有しているスキルやビジネス状況、サポート状況を考慮して、自社のセキュリティ対策の構成は変わるのが当然だという。

そうしたサイバーセキュリティ対策の変遷を踏まえ、野口氏はLanScope Catが選ばれ続けるひとつの要素として、「自社に必要な機能が単体で選択できる料金体系である」点をあげる。「全面刷新の場合は、ある程度推奨機能がパッケージ化されているソリューションの導入が有効かもしれない」ものの、今ある機能を追加、多層化していく場合、「必要な機能が選べるLanScope Catは魅力的だった」という。

さらに同社では、2017年頃より複数のセキュリティセンサーのログを一元的に管理し、インシデント対応の調査において効率化を進める取り組みに着手。SIEMとしてSplunkの検証を2016年から行い、2017年に導入開始した。

Splunkの導入によって、ログ可視化のためのコンソール画面はSplunkに統合されるため、「必要に応じて、セキュリティ機能を追加すること」がさらに後押しされたといってよい。現在は、Active Directoryのログや、DHCPのログ、ファイアウォールのログなど、あらゆるログがSplunkに統合されている。

現在の運用は、社内の業務用端末としてWindows、Mac、そして一部のLinuxなど約300台が「LanScope Cat」の管理対象となっている。

野口氏によると、ソフトウェアのアップデートやバージョンアップについては、「LanScope Cat」の配布機能や、WSUSを通じた配布、社内でバッチを作り、適用させる方法など、「適材適所」の方法を採用しているそうだ。

LanScope Catの最大の価値は「センサーとしての価値」と野口氏はいう。たとえば、IT資産管理ツールとしては、エンドポイントについてのログが収集できるため、このデータを会計システムと連携することで、会計帳簿上の資産管理にも活用している。

「リース体系が複雑になってきたので、会計上の資産管理にLanScope Catのデータを活用しています。現状、データ連携は手動で行っていますが、APIなどを活用して会計ソフトと自動連携が実現できると、LanScope Catにデータ入力をすれば、管理が統合されるのでありがたいです」（野口氏）

センサーとしての価値は、SIEMと連携したサイバーセキュリティ運用にも貢献している。Splunkとの連携により、インシデントの兆候についてアラートが上がってきた際の調査時間は大幅に短縮された。

「LanScope CatとSplunkが連携することで、エンドポイントの操作ログとIPアドレスを関連づけて見ることが可能になり、その時間帯、ユーザーが何をしていたかがすぐに分かります」（野口氏）

さらに、Windows OSの様々な動作をイベントログに記録する「Sysmon」と連携することで、動作したアプリケーションや通信などの詳細なログをSplunkに一元管理することが可能になった。そのことにより、これまで約半日かかっていたインシデント予兆のアラート通知から、初動の判定にかかる調査時間は約30分で完了することができている。

LanScope CatとSplunkを連携させたことで、専門スキルを必要とせずに、インシデントの初動対応が行える点が大きなメリットだという。また、ログの可視化によるメリットはこれだけにとどまらず「防御に注力するべき領域を絞ることができる」と野口氏はいう。

現状を把握することで、どこに注力した対策を行えばよいかが判断できる。サイバーセキュリティの予算、リソースには限りがあるなかで、最適解は会社ごとに違う。防御すべき対象に最適なリソースが配分できるというのが、LanScope CatとSplunk連携の最大の価値だということだ。

今後のビジョンについて、「脅威や技術の変化が激しい中で、3年後も現在の構成ですべてのリスクに対応できるかというと、わからない」と野口氏は述べる。
その上で、「中小企業の課題として、セキュリティの投資が、拡大し続けないように考える必要がある」という。すなわち、次のセキュリティ投資に備え、売上の向上にも寄与しなければならないのだ。

そこで真価を発揮したのが、データ活用基盤としてのSplunkだ。セキュリティのデータ分析の仕組みを、ビジネスにおけるデータ分析の仕組みに流用し、売上向上に寄与し、それを次のセキュリティ対策の投資原資とする考え方だ。

「ゴルフクラブのフィッティングサービスによって、当社に蓄積されるデータはより個人に近いデータになります。当然ながら、データ保護の重要性は高まり、経営方針とセキュリティがリンクしていかなければ、何か事故が起きたときの影響が甚大になります」（野口氏）

野口氏は、データ保護の観点から内部不正対策の重要性を改めて感じていると述べ、MOTEXに対して、「今後もIT資産管理の重要性は変わることはない」と展望を語ってくれた。

そして、「主要な外部サービスとの連携は引き続き、進めてほしい」とし、クラウド化が進む企業ITインフラを「安全に利用できるような、ハイブリッド、マルチクラウドへの移行のベストプラクティスを示してほしい」とパートナーとしての期待を述べてくれた。

※本事例は2019年11月取材当時の内容です。