東京圏に隣接しながら富士山や南アルプスなど日本を代表する山々に囲まれ、県土の約78%を森林が占めるほど雄大な自然が数多く残る山梨県。 2027年にはリニア中央新幹線の開業が予定されており、大都市との多彩な交流を生み出すことが期待されるなど、誰もが明るく希望に満ち、安心して暮らせる「輝き あんしん プラチナ社会」の実現に向け、県政運営の指針である「ダイナミックやまなし総合計画」に基づいて、さまざまな施策に取り組んでいる。今回は、全庁的に展開する端末におけるセキュリティ対策の運用効率化に向けた取り組みについてお話を伺った。
インターネットと庁内LANを分離させるネットワーク分離にいち早く取り組むなど、総務省の方針に沿った対応を確実に行っている山梨県。
情報セキュリティクラウドも、県下の全市町村担当者と協力して構築し、運用段階に入っても定期的な会議や勉強会を開催するなど、セキュアな環境づくりに向けた積極的な取り組みを行っている。
そんな山梨県における全庁的なネットワーク環境の構築やPC調達をはじめ、認証基盤や情報共有基盤の整備、セキュリティ強化などファンダメンタルなITインフラ領域の業務を手掛ける、総務部 情報政策課 情報通信基盤管理担当 副主査 高野 善博氏は、ネットワーク分離に伴って顕在化していた課題について説明する。
「これまでパターンファイルを用いたアンチウイルスソフトとともに、未知のマルウェアを意識して対応可能なふるまい検知ソリューションをそれぞれ個別に導入し、互いに補完しあいながらセキュリティ強化を図ってきました。しかし、2年前に実施したネットワーク分離に関する取り組みにより、インターネット経由でのパターンファイル更新が簡単にできなくなってしまいました」
と、当時を振り返る。
実は、セキュリティ強化のためのアンチウイルスとふるまい検知についても、検知されたものが問題あるか否か、影響がどの範囲にまで及ぶかを判断するために必要な通信ログや操作ログの追跡だけでも、多くの時間と手間がかかっていたという。
「それぞれ異なるベンダーのソリューションだけに管理も大変ですし、原因究明のために端末の操作ログが取得できる仕組みも別途導入して調査する必要があります。できないことはありませんが、効率的とは言えませんでした」
と同課 課長補佐 矢崎 孝氏は説明する。費用面も考慮するなかで、機能の集約と管理効率向上の可能性を探っていたという。
「パターンファイルの場合、年を経るほど配信ファイルが大きくなり、ネットワーク的なストレスが発生していたのは事実。定時スキャンがなかなか終わらないという課題もあり、新たな対策に向けての情報収集を行っていました。その過程で数理モデルを用いたサイランスの先進的な技術を知り、興味を持ったことがきっかけです」
と矢崎氏。
また、PCの操作ログ取得も含めた環境整備にBlackBerry ProtectをOEMで提供するエムオーテックス株式会社(以下、MOTEX)のプロテクトキャットであれば、サイランスの技術を搭載しながらPCの操作ログまで取得可能となり、該当端末の特定や原因究明も含めて1つのソリューション内でかなりの部分を完結させることが可能となる。
「サイランスの場合、半年から1年に1回ほど数理モデルの更新が発生しますが、半年前の数理モデルでも最新のマルウェアに対応可能な実績があり、ネットワーク分離環境にもマッチしていると考えたのです」
と矢崎氏は説明する。
結果として、PC更改プロジェクトにおいて、庁内のクライアント環境におけるセキュリティ対策の中核としてCylancePROTET(プロテクトキャット)が導入されることになる。
今回のプロジェクトでは、情報政策課が管理するおよそ4200台のPCにCylancePROTET(プロテクトキャット)が導入予定となっており、現在は2019年2月末の全庁的な端末入れ替えのタイミングに向けて、チューニングも含めたテスト運用を実施している段階にある。
「事前検証の範囲ではありますが、現行のツールに比べると、余計なものをひっかけていないという実感はあります。現行の仕組みでは、Cドライブなどファイルの格納場所に依存して検知してしまうこともあり、その都度ホワイトリストを追加したり設定し直したりする手間がありました。CylancePROTET(プロテクトキャット)でも過剰検知やホワイトリスト追加というケースはありますが、事前検証をしっかりやることで、運用の手間はこれまでより削減できると思います」
と高野氏は評価する。
矢崎氏はパターンファイル配信の考え方が変わってくることで、ネットワークの負荷軽減につながるだけでなく、未知の攻撃にも対処できる幅が広がることに期待を寄せている。
「運用管理の面では、何か気付いた時にいかに短時間でその原因が特定できるか、被害拡大を防止できるかを常に意識しています。大切なのは、発見した後の初動対応と原因の特定、影響範囲の絞り込みをいかに短時間で行えるか、その意味ではいい環境が整備できると思っています。」
以前であればログ解析まで含めた原因特定に30分から1時間程度は必要だが、プロテクトキャットであれば数クリックで必要な情報にたどり着くことができるようになる点も大きなポイントだという。
「新たなマルウェアに対する定義がいつのパターンファイルで配信されるか分からないため、これまでは定時スキャンが必須でしたが、今回は端末を配る前にフルスキャンを実行し、あとはリアルタイム保護を実施するのみ。以前は定時スキャンのタイミングも業務に影響がないよう調整が欠かせませんでしたが、その部分の負担が減ることを期待しています」
と高野氏。
今回提案から導入支援まで全面的に支援を行っているMOTEXについては、
「積極的にコミュニケーションをとらせていただき、互いに包み隠さず正直に話ができる関係を築くことができました。ネガティブなことも早めに情報をいただくことで対処の仕方を変えられます。一つひとつに真摯にかつ懸命に対応する姿にも感謝しています」
と矢崎氏は評価する。
高野氏も
「これまでグレーな検知を行った際の判定で悩ましい場面もありましたが、導入準備段階ではあるものの、検知したファイルや検知理由等の説明も迅速で十分満足のいくものが得られています。理屈を知ることで我々も運用の精度を高めていくことができます」
とMOTEXの対応を評価する。
今後については、まずは全庁的なPC入れ替えのタイミングに向けてチューニングを重ねていきながら、運用管理環境も含めてしっかり準備していきたいという。
「運用負担の軽減や検知後の迅速な分析など、事前に描いている効果が得られるか、しっかり実践の中で検証していきたい。また、庁内の情報通信基盤を管理する立場からすると、5年後に予定する次回のPC更改に向けてどのような選択ができるのか、仮想化技術の適用範囲拡大も考慮しながら、検討していきたい」
と力説する高野氏。
今回得られた運用ノウハウやその効果を、県下の市町村に対して情報共有することも念頭に入れている。
「担当者同士の集まりの中で、新しいアプローチ方法については共有していきたい。同じ課題を抱えている市町村の担当もいるはずで、今回の方法が従来とは視点を変えて見直すきっかけになるなど、何かしら参考になればいいと考えています。そのような話ができるようになるためにも、このプロジェクトを成功させて、新しい運用をスタートさせることが当面の目標です」
と矢崎氏。
また、今後はテレワークやモバイルワークといった新しい働き方への取り組みも検討しているとのことで、
「働き方の変化における管理手法やセキュリティ確保の方法なども含め、今後もCylanceとMOTEXの知見をお借りしたい」
と最後に語った。
※本事例は2018年11月取材当時の内容です。