工学系計算ソフトウェアや物理特性をシミュレーションするソフトなどの販売を手がける株式会社テラバイトは、社員約50名のうち技術職が30名近くを占める。
また、社内のIT関連の管理やセキュリティの実務は諏佐氏が担当しており、いわゆる「ひとり情シス」だ。「インフラ全般やセキュリティなどの情報システム関連の業務を担当するほか、一般的な総務事務も担当するなど、幅広い業務に従事している」と諏佐氏は話す。

加えて、同社では、エンドポイントセキュリティ対策として、これまで従来型のアンチウイルスソフトを利用していたが、メーカーの販売形態が変わり、契約を更新することとなったため、この機会に導入製品を見直すことになった。

これまで利用していた従来型のアンチウイルスソフトにはいくつかの課題があり、例えば、ライセンス管理の問題である。「何度もライセンス追加を繰り返していたため、契約終了日が複数に分かれてしまっていた。そのため、ライセンス管理が煩雑で、管理工数がかかったり、製品のボリュームディスカウントが適用されないといった問題があった」と諏佐氏は話す。

その他にも、管理サーバー運用上の課題もあった。従来のアンチウイルスソフトはオンプレミス型の製品のため、自社で管理サーバーを構築し管理・運用していた。そのため、サーバー障害時やバージョンアップ時には、自社で対応する必要があったが、専任のシステム担当者を設けることができない、ひとり情シスという体制が続いており、中長期的な運用を考慮した際に、現状の運用体制が維持できるかが不透明であったという。

また、従来のアンチウイルスソフトは、設定が必要な内容が多く、管理するのが難しかったと諏佐氏は振り返る。運用にあたって重要となるポリシーの設定についても、設定の難しさが要因となり、必要性は認識していたものの、数年前に前任者から管理を引き継いでから定期的な見直しができていない状態だった。

このような課題を抱えていたため、従来のアンチウイルスソフトの販売形態が変わり契約を見直すタイミングで、できる限り少ない工数で管理ができ、AIによって未知の脅威にも対応できる次世代型のアンチウイルス製品である「CylancePROTECT」の導入が検討された。

選定に際しては、CylancePROTECTを含めた複数の製品の調査を行い、価格や機能面の比較を行った。その結果、従来型のアンチウイルスとCylancePROTECTの2製品に絞り、最終的なトライアルが実施された。

CylancePROTECTを無料トライアルした結果について、諏佐氏は「提供されたマニュアルに記載された内容を確認しながら使用環境の構築を行うことができた。また、管理担当者として、従来型のアンチウイルスソフトに比べて、運用の難易度は低いと感じた」と話す。

また、CylancePROTECTはクラウド上で管理するため、自社でサーバーを構築する必要がなく、課題になっていたサーバーの管理についても解決できることがわかった。
「日常的な運用については、クラウド環境の方が将来的に優位であると考えた。情シス担当にリソースを割けない企業にとっては、次の世代の運用を考えたときに、業務負荷が低いというのは大きなポイントになった。」（諏佐氏）

また、同社ではテレワークが浸透しており、「社外にある、社内ネットワークに接続されていないPC端末であっても、クラウド型のアンチウイルス製品であれば、オフラインモードで安全が確保される点にも期待した」という。

また、今回CylancePROTECTを採用した最も大きなポイントとして、諏佐氏は未知の脅威（ウイルス・マルウェア・ランサムウェア）に対する検知率の高さを挙げた。
「CylancePROTECTは、未知・亜種のマルウェアもAIを活用したマシンラーニング（機械学習）で99%※検知することができるということで、未知の脅威に対する検知率の高さが管理する立場としては安心感につながった」と諏佐氏は話した。
※2018 NSS Labs Advanced Endpoint Protection Test結果より

また、管理面では業務負荷を軽減できる点もポイントになった。
CylancePROTECTは管理者が必要な操作がシンプルな造りになっており、ウイルスの可能性がある不審なファイルを検知したというアラートに従い、管理者がこのままファイルの利用を許可するのか隔離するのかを選べばよく、わかりやすい設計になっている。
加えて、従来型のアンチウイルスが必要とする定義ファイルの更新についても、「これまでは自動更新の設定にはなっていたが、設定や確認方法が煩雑なため最新の更新ファイルが適用されているか、正確に把握するのが難しかった状態だった。しかし、CylancePROTECTは次世代型の製品のため、そもそも定義ファイルを更新する必要がなく、運用負荷が大きく軽減できると考えた」と諏佐氏は話した。

導入に際しては、トライアル時に構築した環境の記録があるため、スムーズに進んだと振り返る。
トライアル時には10台程度に導入したが、本番導入の際は、それを全社の約50台に展開していく作業となった。ユーザー社員側で行うことは「インストーラーを実行することと、必要なファイルがブロックされた際に管理者に連絡をすることくらいだった」とのことで、ユーザー側にも理解を得やすく、負担も少なかったという。

本番運用がスタートすると「1〜2週間はいくつかのファイルが不審なファイルの可能性ありと検知された。それを必要なファイルか隔離すべきファイルか、確認しながら振り分ける作業を行った」と諏佐氏は話す。
「社員にはブロックされたら連絡するよう周知していた。連絡が来たものに対しては一つひとつ対応したが、業務で使用するメインのソフトウェアやファイルが検知されることはなかった」ということで、導入開始から1～2週間で社内からの問い合わせはほぼ終息したという。

導入時に気を付けた点として、業務上計算用ソフトウェアを多数扱っているため、それらの動作に支障が出ないように留意したという。この点についても、トライアル時に技術者の社員を4名ほど試用対象者に選定して動作確認を行っていたため、影響しないことを確認できたという。

現在は、約80台のPC端末を諏佐氏が1人で管理・運用を行っている。
日常的な運用は、検知アラートへの対応と、新規の端末が加わり管理対象の端末が増えたときのエージェントのインストールや、廃棄端末のライセンス解放作業だという。

「検知アラートのメールを受信した場合や、ユーザー社員からソフトウェアやファイルがブロックされたという連絡を受けた際に、管理画面にログインして状況を確認し、セーフリストへの振り分けや除外設定を行うといった運用が中心だ。」（諏佐氏）

導入効果について、以前は運用状況を正確に把握できなかったが、今はアラートメールが来ることに加え、管理コンソールでも確認がしやすいかたちになったので管理がしやすくなったと諏佐氏は述べる。
特に、同社では、CylancePROTECTと同じくエムオーテックスが提供しているIT資産管理ツールであるエンドポイントにおけるIT資産管理・情報漏洩対策・ウイルス対策をカバーし、ログ運用を中心としたPCの統合管理“LANSCOPE エンドポイントマネージャー オンプレミス版 （以下エンドポイントマネージャー）”を以前から導入しており、今回、CylancePROTECTとエンドポイントマネージャーを連携させた。その結果、エンドポイントマネージャーでCylancePROTECTが不審なファイルを検知した際にメールを含めたアラートが通知される設定となっている。
「以前利用していた従来型のアンチウイルスソフトは、何が起きているか、私たちが分かりやすい可視化がなされなかったが、CylancePROTECT導入後は検知アラートに沿って、何が起きているかを把握できるようになり、大きな安心感につながっている。」（諏佐氏）

次世代型アンチウイルス製品のため、従来型のような定義ファイルの更新作業もなくなり、運用負荷が軽減されたのも大きなポイントになっている。

そして、エムオーテックスのサポートについて、諏佐氏は「疑問点が出た場合の問い合わせが中心で、件数としては年に数件レベル。しかし、問い合わせをした際の回答内容の質が高く、十分に満足している」と評価した。

今後の展望については、統計情報の確認もしたいという。
「現状は日々の運用での活用にとどまっており、検知された脅威などの情報がわかるレポート機能を利用していない。今後は運用改善や新たなセキュリティ脅威に会社としてしっかり対応していくためにも、1～2ヵ月に一度程度、定期的なレポートチェックを行いたい」と諏佐氏は述べる。また、その際には「レポートの使い方や事例を基にしたケーススタディなどを、エムオーテックスにサポートサイト等を通じて提供してもらえると助かる」ということだ。

また、設定シートのような管理者の設定業務を省力化するようなツールの提供や、ハンズオンに近い形での具体的な設定方法のレクチャー、CylancePROTECTの機能のさらなる活用方法やエンドポイントマネージャーと連携した効果的な利用方法の情報提供など、ひとり情シス担当者に向けたベストプラクティスとなるサポートを継続的に行ってもらえると、さらに運用負荷が軽減されると述べ、締めくくった。

※本事例は2023年3月取材当時の内容です。