1977年(昭和52年)10月設立、キャスターおよび関連商品の開発・製造・販売や、ガススプリングや加工部品の製品販売を手がける株式会社ユーエイ。同社は、年々深刻化するランサムェア攻撃への対策強化のため、従来のパターンファイル型のアンチウイルス製品から次世代型AIアンチウイルス「Deep Instinct」への移行を決定。導入の経緯や効果などについて、同社 経営企画部の的場 祥仁 氏に話を聞いた。
同社の情シス部門は4名で、基幹システムをはじめとする業務システムの運用管理やセキュリティ運用、業務端末のキッティングや保守サポートといった一般的な情シス業務に加え、管理会計業務も兼務している。的場氏は部門長として情シス部門の責任者の立場にあたる。
同社では、業務PCのランサムウェア対策に課題を抱えていた。「国内の病院などで感染被害が報じられ、業務に支障が出ている状況を見て、弊社もランサムウェア対策を強化したいと考えていた」と的場氏は話す。
「生産ラインがある工場にもPCはあるが、基本的にオフラインで運用しているので、今回対策を実施したい端末はオンラインで利用している事務系業務を行うPCが中心だった」とのことだ。
同社におけるPCやサーバーのエンドポイント対策は、これまでパターンファイル型のアンチウイルス製品を導入・利用してきた。しかし、上述したランサムウェアをはじめとするさまざまな脅威の情報を得て、「現在の対策で、果たして未知、既知のウイルス(マルウェア)を含め、あらゆる脅威を検出できるのか、不安を感じることがあった」と的場氏は述べる。
そこで、従来製品のバージョンアップのタイミングで、新たなアンチウイルス製品への乗り換えが検討されることになった。
製品選定のための情報収集を行っている中で、「AIを用いた次世代型アンチウイルス製品のマルウェア検知率の高さに関心を持っていた」こともあり、Deep Instinctの体験版導入を検討したという。
実際にDeep Instinctの体験版を利用してみた感想について、的場氏は「管理コンソールのインターフェースや、設定等などの操作が直感的でわかりやすい」と感じたという。
「アンチウイルスを検討する上で、運用のしやすさは大きなポイントだと考えていました。」(的場氏)
また同社では、同じくエムオーテックスが提供する統合エンドポイント管理「LANSCOPE エンドポイントマネージャー(以下エンドポイントマネージャー)」を導入している。そのため、Deep Instinctのエージェントを、エンドポイントマネージャーのファイル配布機能で展開・自動インストールすることが可能で、この展開が容易だった点が大きく評価された。
さらに、次世代型AIアンチウイルス製品の検討当初から関心を寄せていた「マルウェア検知率の高さ」も改めて決め手となった。「体験版では業務に必要なファイルが検知されてしまうこともあったが、これまでのアンチウイルスでは検知されていなかった問題があるファイルが検知されており、しっかりと脅威を検知できていることが分かって安心した」と的場氏は話す。
こうして、体験版を経てDeep Instinctの正式導入が決まった。管理対象となるクライアントPCやサーバーといった200台以上エンドポイントへのインストールは、「エンドポイントマネージャーのファイル配信機能を用いて、サイレントインストールを行った」という。的場氏によると、「一部の海外で使用している端末へはインストーラーを配布し、ユーザー社員に個別にインストールしてもらう形をとった」ものの、200台を超える端末への展開が約1ヶ月間で滞りなく完了したという。
また、展開時にDeep Instinctで良かったポイントとして、的場氏は「Deep Instinctは他のアンチウイルス製品と干渉しない(併存が可能)」という点を挙げた。「旧ソフトをアンインストールし、新ソフトをインストールする場合、端末が保護されない期間が生じてしまうが、Deep Instinctの場合はその心配がなく、安心して展開作業を行うことができた」と振り返った。
なお、セキュリティポリシーについては「エムオーテックスから最新のEmotet対策の推奨ポリシーについて案内をいただいたので、その適用をしたばかりだ」と述べ、エムオーテックスの定期的なサポートに従って設定を行っている。
導入効果について、的場氏は、やはり「マルウェア検知率の高さ」を一番に挙げた。「導入直後は、10件〜20件ほど問題があるファイルが検出された。バックドア系のマルウェアで、これまで使っていたアンチウイルス製品では検知されていなかったファイルが、Deep Instinctでは検出された点に好感を持っている」と述べ、従来のパターンマッチング型のアンチウイルスと比較して検知率が高いことを実感しており、Deep Instinctが感染リスクの低減に寄与できていると評価した。
また、運用面では「検知されたときに、情シスメンバーにアラートが通知されるので、それに従って管理コンソールを確認し、許可か隔離かを判断することが日常的な運用の中心となっている」と的場氏は話した。セキュリティポリシーの変更後は一時的に検知アラートの件数が増えることがあるものの、一定期間で落ち着くという。
さらに、「Deep Instinctでは、パターンファイルの更新作業が不要であることも大きい」と的場氏は話す。「これまでは、頻繁に最新のファイルが適用されているかを確認する必要があったが、Deep Instinctに切り替えてからは、年1回ほどの更新頻度のため、私たち管理者の工数が大幅に軽減された」ということだ。
Deep Instinctは、ディープラーニングの特許技術を活用した予測脅威防御によって、マルウェアの特徴点を見つけ、実行前に検知・隔離するAIアンチウイルス製品であるため、従来のパターンマッチング型の製品に必要な定期的なスキャンやパターンファイルの更新が不要である。従来型製品には存在した、最新のパターンファイルが適用されるまでのタイムラグが生じることもなくなり、その点でも脅威に対するリスク低減につながっているという。
加えて、「PC廃棄時などで、アンチウイルスソフトをアンインストールする作業についても、Deep Instinctの管理コンソールから遠隔でアンインストールが可能なため、個々のPC端末で削除の作業をする必要がなく、ここも運用が省力化された」と的場氏は話す。
エムオーテックスのサポートについては、「導入当初、『検知モード』から『隔離モード』に切り替え、防御を行うタイミングについてサポートを受けることがあった」ということで、体験版の利用時から、要所要所で説明を受けたり、打ち合わせを重ねてきたという。
導入・設定時に問題が起きた場合にも、「サポート担当者とのメールによるやり取りによって、スムーズに問題が解決できている」と的場氏は述べ、「不明点に対する回答が的確で、問題なく運用できている状態だ」と話した。
今後の展望について、的場氏は「現在の課題として、Deep Instinctで検出されたものが問題あるものなのかどうか、判断が難しく迷うときがある」と話し、「人によって判断が異なってしまうのは問題なので、社内におけて許可/拒否の基準点を整備・確立したい」とした。
そして、そのためには「ノウハウの蓄積の重要性」を挙げ、エムオーテックスには、「ベストプラクティスや最新事例などを提供してほしい」と要望を述べた。「他社での検出事例など、私たちの判断の参考になる情報を継続的に共有してほしい」ということだ。今後、社内のセキュリティポリシー整備・策定を推進する立場として、的場氏は「エムオーテックスにはマネージドサービスや情報提供などを含めて、継続的なサポートをお願いしたい」と締めくくった。
【この事例のDeep Instinct販売パートナー】~株式会社ハイパー~
株式会社ハイパーは、法人のお客様を対象にコンピュータ本体やソフトウェア、周辺機器などを販売する「ITサービス事業」を中核にビジネスを展開。
顧客企業に対するソリューションビジネスとして、ネットワーク環境の構築や保守業務、Webサイトの制作なども提供している。
「見積り対応などが迅速で、弊社に寄り添ったご提案をしていただいた。現在はDeep Instinctのライセンス手配をお願いしているが、今後、弊社の課題を解決するソリューションのご提案もぜひお願いしたい」と的場氏は期待を寄せる。
※本事例は2023年3月取材当時の内容です。