1988年(昭和63年)6月設立、サッポログループ傘下の不動産事業会社として恵比寿ガーデンプレイスをはじめとする商業施設の運営や不動産の賃貸管理、不動産開発などを手がけるサッポロ不動産開発株式会社。同社は、施設の運営を委託する外部のパートナー企業の社員が利用するパソコンの入れ替えを機に、エンドポイント対策の強化に着手した。そこで採用されたのが、AI(人工知能)を用いた高い検知率を実現する次世代アンチウイルス「BlackBerry Protect」と、AIアンチウイルス統合型EDR(Endpoint Detection and Response)サービス「BlackBerry Optics」が利用可能な外部脅威対策ソリューション「Cyber Protection Managed Service( LANSCOPE サイバープロテクション )」だった。
導入前の課題や選定の経緯、導入効果などについて、サッポロ不動産開発株式会社の山内 健次郎 氏に話を聞いた。
サッポログループとゆかりの深い恵比寿や札幌を中心に事業を展開し、1993年には札幌に「サッポロファクトリー」を、翌1994年には恵比寿に「恵比寿ガーデンプレイス」を開業、運営を手がけるサッポロ不動産開発株式会社。同社では、同社が運営を担う大型複合施設や宿泊施設に関して、その運営を委託する外部パートナー企業の社員約150名が利用するパソコン、情報共有基盤のグループウェア、携帯電話などの情報資産の調達、運用管理を担っている。
サッポログループ全体の基幹系や情報系のシステムやネットワーク、パソコンなどのハードウェアの調達や運用管理はサッポロホールディングスのIT部門が担当しているものの、山内氏によれば、
「サッポログループのネットワーク範疇外となるパートナー企業とのITインフラは各事業会社に任されており、当社には専業のIT部門がなく、歴代のIT担当も他の業務と兼任でパソコンの調達や運用管理を行ってきた」
という。
委託先社員が利用するパソコンの台数は決して多くないが、東京や札幌など、施設単位で異なる担当者が調達等に関わっており、調達方法や、アンチウイルスの導入などのセキュリティ対策の状況も「施設ごとに異なっていた」ということだ。
さらに、委託先のパートナー企業の規模によって、統合されたネットワーク環境を備えたところもあれば、インターネット回線を引いてきて、「自宅で利用するパソコンを購入する感覚でウイルス対策ソフトウェアを購入して利用している」会社もあり、「ハードウェアの保守も一般的な保証内容で、かつ施設によって保証内容もバラバラだった」というのが実情だった。
パートナー企業全体で統合されたネットワーク環境や、パソコンをはじめとするエンドポイント対策が実施できていないことが課題だったのだ。
2018年10月に同社に赴任してきた山内氏は、グループウェアなどの委託先を含めた社内業務システムの整備を進め、2020年には管理対象のパソコン20台の入れ替えを機に、セキュリティ対策の強化に本格的に着手した。
セキュリティ対策には大きくネットワークセキュリティとエンドポイント対策がある。そこで、すべての通信を信頼せず、ユーザー認証や制御を行う「ゼロトラストセキュリティ」の考え方に基づき、ファイアウォールやIDS/IPS、URLフィルタリングやSD-WANなどのネットワークセキュリティの整備としてSASE(Secure Service Edge) の導入を進め、同時に、エンドポイント対策として「マルウェア対策とEDRを導入する」こととした。
エンドポイント製品の選定は2021年に開始され、MOTEXをはじめ複数製品が比較検討の対象となった。選定の要件として、山内氏は
「パソコン更改のタイミングである4年間の総額コストとあわせ、機能面を比較検討した」
と述べる。
機能面については、「従来の定義ファイル型アンチウイルスでは、未知の脅威(ゼロディ攻撃)に対して脆弱である」という理由でAIを用いた次世代アンチウイルスが選定対象となった。山内氏は、
「検知能力については実証が難しく、基本的に各ベンダーのカタログスペックを信用するしかない」
としつつ、万が一のインシデント時にどこから、どのプログラムが要因となったのかを可視化するEDRの機能を重視したと振り返る。
しかし、
「管理対象のパソコンが20台という小規模のユースケースに対応したサービスというのが基本的に少ない」
と山内氏は指摘する。セキュリティの脅威というのは企業規模に関わらず存在するものだが、大手のセキュリティベンダーのサービスは、基本的に大企業向けのものが中心だからだ。
BlackBerry Protectの運用代行サービスは
「小規模事業者でもコストパフォーマンスが高く、手厚いサービスを利用できる内容になっている」
ということで、その点で LANSCOPE サイバープロテクション が最も優れていると判断したと山内氏は述べた。
かくして、2021年末に採用が決定し、2022年1月中旬からインストールを開始。2月末にかけて導入作業を行い、現在は「業務委託先のパートナー企業の社員が利用するパソコン20台に対して、残り2台を残して導入が完了している」状況だ。
そして、全台の導入が完了後、4月をメドに検知モードをONにして本格的な運用が開始される予定だ。導入時の作業について、山内氏はまず、EDRの設定(アプリケーションのホワイトリスト、ブラックリストの設定)を行ったと話す。
「具体的にはネットワークセキュリティ機器との競合を一番心配していました。しかし、事前にBlackBerry側のFQDN(絶対ドメイン名)などの情報を取得していたため、ファイアウォール側の通信許可の設定などはスムーズに完了できました」(山内氏)。
また、業務アプリケーションについては、Microsoft Officeなどの一般的な業務ソフトが中心だったため、
「業務に必要なアプリがブロックされることもなく、問題なく検知モードに移行して運用保守サービスを開始できることが確認できた」
ということだ。
そして、運用開始後の運用体制については「札幌の商業施設のIT担当にもインシデント対応の運用に入ってもらうよう、これから整備していく段階」だが、運用開始後に期待される導入効果について、山内氏は、EDRの効果を強調する。
「もちろんインシデントは起きてほしくないですが、インシデント発生時に、いかに難解な内容を我々や経営層に平易に説明してもらえるかという点に期待しています」(山内氏)。
具体的には、インシデント発生後に立ち上がるリスクマネジメント委員会に対し、現状把握と事後対応、データ漏えいがあればどういう状況で通信したのかといった点で早期に報告が上がることで、「その点のスピードや内容のクオリティについて大いに期待している」ということだ。
MOTEXには導入時に、オンラインで2時間程度、設定画面の説明や導入のポイントについてサポートを受けたということで、運用の本格開始後は、再度、注意事項などのサポートを受ける予定だと山内氏は話した。
今後は、 LANSCOPE エンドポイントマネージャー クラウド版 との連携を進め、EDRとLANSCOPE側で取得するPC操作ログと付き合わせることで「情報漏洩があった際に、経路だけでなく通信先、流出したデータ内容まで可視化できることをめざしている」という。これにより、改正個人情報保護法対応も進めていきたい考えだ。
また、ツールの導入だけでなく
「ユーザー側の啓発も重要だ」
と山内氏は考えている。セキュリティツールの導入と合わせ、利用者がリスクの高い状況に陥りにくい状況を作っていくことが大事だからだ。
そのためにMOTEXに期待するのは、無料の教育コンテンツなどをフル活用しながら、セキュリティ意識の啓発をサポートすることだという。
「委託先は直接の労使関係になく、啓発活動にも配慮が必要です。我々のビジネスの根幹を担う商業施設の運営において、そこに個人情報の取り扱いが入ってくるのであれば、個人情報の安全管理措置のレベルアップを進めていかなければなりません」(山内氏)。
そのために、ツールと人の両面で、セキュリティを高めていくためのサポートを今後もお願いしたいということだ。
そして、中小企業でも導入しやすい価格と、充実した機能、手厚いサポートといった製品・サービスを拡充することで「小さな組織や“一人情シス”でもセキュリティレベルの引き上げにつながるような取り組みを、MOTEXには社会的な活動として取り組んでほしい──、山内氏はこのようにMOTEXへの期待を話してくれた。
※本事例は2022年1月取材当時の内容です。