ふくおかフィナンシャルグループ傘下で、国内初のデジタルバンクとして2021年にサービス提供を開始した「みんなの銀行」。そして、同行の金融機関サービスの開発を手がけるのが同傘下のゼロバンク・デザインファクトリーだ。

同社では、エンドポイント対策として、すでにEDR（Endpoint Detection and Response）製品を導入しており、昨今巧妙化・高度化しているサイバー攻撃に対するエンドポイントセキュリティの強化を図ってきた。しかし、このEDRの運用について、「みんなの銀行」のSOC（Security Operation Center）やCSIRT（Computer Security Incident Response Team）においてセキュリティ運用を担当する石松氏は不十分な部分があったと振り返る。

「これまで、EDRが不審な動きなどを検知した際には、脅威を検知した部分のログしか確認することができず、調査・分析のため、脅威が検知された前後にどのような操作・挙動があったのか、関係する範囲に広げてログを確認する術がなかった」（石松氏）という。『みんなの銀行』はデジタルバンクであり、当然、金融サービスとして顧客の口座や資産といった機微な情報を取り扱う。「情報漏洩対策も、より強化していきたいというニーズが以前からあった」とも石松氏は話す。
同社ではログ管理・分析プラットフォームとして「Splunk」も利用しており、このSplunkにEDRだけでなくIT資産管理ツールも連携させ、端末の操作ログも含めて収集したログを一元管理し、脅威が検知された際にしっかりと調査・分析できる仕組みが必要だった。

▲ セキュリティグループ 石松 真氏

そして、IT資産の管理の面では、昨今は業務利用しているツールの脆弱性を突く攻撃も発生しており、こうしたケースにも迅速な対応が求められる。「例えば、ソフトウェアの脆弱性が確認されたときに、そのソフトウェアをインストールしている端末がどこに何台あるのか把握できていないといった課題があった。」（石松氏）

このように、金融サービスに関わる企業としてより厳格にセキュリティ対策を行うため、ログの確認や、情報漏洩対策、IT資産の管理など、同社が求める機能を網羅してセキュリティを強化できる製品が求められていた。

導入にあたっては、石松氏を中心にIT資産管理ツールの情報収集を行い、エンドポイントマネージャーを含む4製品を検討したという。
導入候補製品の比較について、石松氏は「内部不正対策やログ確認の面で、不正な操作を検知した際にその前後の端末のログを取得できるかという点や、USBメモリーなどの外部記録メディアの利用制御機能があるかといった点などを中心に比較を行った」と振り返る。

また、IT資産管理ツールで取得した操作ログの分析には、プラットフォームとして「Splunk」を活用する方向で検討していたため、Splunkとの連携が可能な製品であるかも重要な選定ポイントだったという。
最終的に候補を2製品まで絞り、ここからエムオーテックスのエンドポイントマネージャーを選定した理由として、石松氏は、操作ログ管理や記録メディア制御などといったIT資産管理の機能面が充実していたことはもちろんであるが、やはり、ログ分析のプラットフォームとして利用しているSplunkとの連携が可能で、豊富な実績があったことが決め手になったと述べた。

エムオーテックスでは、自社セキュリティチーム（MOTEX-CSIRT）が2018年からSplunkを自社導入し、その後Splunk社の技術パートナーにもなっている。自社で蓄積したノウハウや、ユーザーの要望に合わせて作成したダッシュボードをテンプレート化。“LANSCOPE データアナライザー powered by MUCV(Splunk Cloud) として、エンドポイントマネージャーとSplunk両方を導入しているユーザー向けに公開しており、現在エンドポイントマネージャーとSplunk連携実績は300を超えている。石松氏は、このように豊富なダッシュボードがIT資産管理ツールと合わせて提供されている点を選定ポイントとして強調した。

▲ カスタムApp「IT資産脆弱性診断ダッシュボード」トップ画面（クリックで拡大）

また、エンドポイントマネージャーには「オンプレミス版」と「クラウド版」があるが（どちらもSplunkとの連携が可能）、今回オンプレミス版を採用した理由としては、「記録メディアの制御などの機能面で、オンプレミス版の方が私たちが求めている要件によりマッチすることがわかり、最終的にオンプレミス版を採用することとなった」と石松氏は話す。クラウド版はMDM（モバイルデバイス管理）からスタートしており、現在ではPC・スマホの一元管理ができるようPC向けの機能も備えているが、オンプレミス版はPC・周辺機器の資産管理が求められはじめた1990年代から20年以上の歴史を持ち、よりPC管理の機能が充実している面がある。

そして、コストパフォーマンスを含めて総合的に判断し、エンドポイントマネージャー オンプレミス版の採用が決定したという。

導入時は、エムオーテックスのサポートを受けながら、端末を使用している従業員の業務に支障が出ないよう配慮し、厳し過ぎず、かつセキュリティを担保できるポリシー設計を行うことができたと石松氏は振り返った。

各端末へのエージェントの展開・インストール作業については、「最初は従業員の業務に支障が出ないよう、展開する端末を絞って特定の部門からインストール作業を開始した。その部門で検証をした後に全社への展開を行った」と石松氏は話す。

日常的な運用について、石松氏は「まず、IT資産管理の面では、端末の棚卸や台数把握にエンドポイントマネージャーを活用できている」と述べた。導入前は表計算ソフトなどで作成した台帳に手動で端末情報を入力して管理を行っていたが、エンドポイントマネージャーの導入により、「例えば、Windows 11への移行が済んだ端末とまだ移行していない端末を精査したりできるなど、棚卸のスピード化、省力化が実現できている」（石松氏）という。

▲ システムグループ 中西 敬太氏

また、大きな選定ポイントであったエンドポイントマネージャーとSplunkの連携についても、満足な結果を得られているという。エンドポイントマネージャーで取得した操作ログや資産情報をSplunkに転送するとさまざまな切り口の分析レポートを作成できるが、有用なアウトプットを担当者自身が1から作成していくのは人的リソースや予算の面でなかなか難しい部分がある。

しかし、エムオーテックスでは 「LANSCOPE On-premises App for Splunk」というさまざまなレポートをあらかじめセットにしたパッケージを提供しており、これをエンドポイントマネージャーと合わせて導入することで、多くの企業・組織でニーズがある勤務実態や情報持ち出し状況などのコンプライアンスリスクを可視化するレポートを、エンドポイントマネージャーからのデータ転送後すぐに利用できる。

ゼロバンク・デザインファクトリーでは、このLANSCOPE On-premises App for Splunkを利用して、ソフトウェアの脆弱性が報告されて対処が必要になった際も、該当端末の把握が簡単にできたという。
同社で主にITリスクマネジメントや内部統制を担当する毛利氏は、当初課題に挙げていたEDRと連携したログ確認についても、「EDRが不審な動きを検知した際の前後の操作・挙動のログ確認や、それによる情報漏洩有無の調査の件数は多くないものの、検知のアラートがあったときには必ず確認できている。誰が、いつ、どんな操作をしたか、ファイルを移動させたかなどについて、操作ログをもとに詳細な追跡が可能になったことは大きなポイントだ」と話した。

そして、情報漏洩対策の面においても、毛利氏は「弊社ではリモートワークの際に自宅Wi-Fiへの接続を認めているが、Wi-Fiルーターの通信暗号化方式のセキュリティ強度が弱くないかをチェックするのにエンドポイントマネージャーが役立っている」と話す。リモートワークを行う際には、通信ネットワークの脆弱性による情報漏洩リスクを考慮する必要があるが、リアルタイムで確認可能なセキュアな状況が構築できているという。
「このWi-Fi通信における脆弱な暗号化方式の検出については、エンドポイントマネージャー導入前は各人の申告ベースで、エビデンスも各人に求める運用になっていたが、導入後はエンドポイントマネージャーで私たち管理者側が正確な情報を確認することができるため、従業員・管理者双方とも負担が軽くなり、実効性が向上した」と毛利氏は導入効果を評価した。

その他にも同社では、情報漏洩対策として、ビジネスチャットツールへのファイルアップロードの 検知や、USBメモリーなどの外部記録媒体の利用制御といったエンドポイントマネージャーの機能を活用しているということだ。
「弊社ではUSBメモリーの使用は基本的に禁止としている。社外にデータを送る際は、会社が推奨するファイル転送サービスを用い、担当者以外の者が 送付内容をダブルチェックしてから発信することが基本ポリシーになっている」と毛利氏は話す。

しかし、業務上データ授受にUSBメモリーを使用することが不可避なケースもあるため、限定的にUSBの使用を許可しているケースもあり、USBメモリーの読み書きを許可している端末については、エンドポイントマネージャーで取得した操作ログより、目的業務と一致したファイルが書き出されているかを管理者側が必ず確認するようにしているという。

▲ デジタルサービスマネジメントグループ グループリーダー 毛利 大輔氏

さらに、毛利氏は勤怠管理への活用も導入効果に挙げた。
「エンドポイントマネージャーで取得したログオン・ログオフ、操作開始・終了時刻のログと、人事情報システムを連携させ、申告時間と端末の操作ログの時刻に乖離がないかをチェックしている。リモートワークの際には、これまでは利用者にスクリプトを配布して、各人でログを取得して所定のフォルダに保管してもらうという運用をしていたが、エンドポイントマネージャー導入後はこのような作業の必要がなくなり、こちらも従業員・管理者双方の負担が減り、勤怠管理の効率化・確実化といった効果が得られた」と毛利氏は評価した。

エムオーテックスのサポートについて、石松氏は、運用上の疑問点などをサポートサイトからメールで問い合わせることがあると話す。その際の対応については、「何より応答速度が速い。また、問い合わせに対する解決策もプランA、プランBのように複数ご提案いただくことがあり、いつも有効なアドバイスに助けられている」と述べた。

今後の展望については、Splunkとの連携について、他にも用意されているさまざまなレポートテンプレートの追加を検討して利用範囲を拡大し、エンドポイントマネージャーやEDRの運用のさらなる自動化・省力化を進めていきたいと石松氏は話す。

特に、石松氏はSOCのセキュリティ運用も担当されているため、将来的にはSOCでの各種対応の自動化も含めて、エンドポイントマネージャーの活用範囲が広がっていくことを期待しており、エムオーテックスにはそのためのサポートを今後もお願いしたいと述べて締めくくった。

※本事例は2023年1月取材当時の内容です。