株式会社日本オープンシステムズは、コロナ禍による働き方の多様化に伴って変化したPCなどのIT機器の使用環境に対応するため、社外で稼働するエンドポイント端末のセキュリティ強化を課題としていた。そこで、すでに導入していたEPP(Endpoint Protection Platform)製品「LANSCOPE サイバープロテクション powered by CylancePROTECT」(以下CylancePROTECT)」に加えて、EDR(Endpoint Detection and Response)製品である「LANSCOPE サイバープロテクション powered by CylanceOPTICS(以下CylanceOPTICS)」を導入した。導入の経緯や導入効果などについて、同社管理本部 情報システム部 部長の高岡 健二 氏と北陸システム開発部の赤江 賢治 氏に話を聞いた。
同社のエンドポイント対策について、高岡氏は「これまではパターンファイル型のアンチウイルスソフトを利用していた」と話す。しかし、昨今サイバー攻撃の手法が巧妙化してリスクが高まっており、「未知のウイルスへの対策に課題を感じていた」という。
また、コロナ禍を経て、テレワークが導入されるなど働き方が多様化しており、PCの使用環境が変化しているため、社内ネットワークに接続していないPCのセキュリティ対策も課題になっていた。
「数年前までは全てのPCが社内ネットワーク内にある想定で資産管理やセキュリティ対策を行うことができたが、テレワークが普及するにつれて、社外で稼働しているPCのセキュリティ対策が急務になった。」(高岡氏)
加えて、従来のパターンファイル型のアンチウイルスソフトはオンプレミス型であった。そのため、社内の管理サーバーも含めて、情シス担当者が兼務しながら少人数で運用を担当しており、管理・運用の負荷も課題になっていた。
そして、高まるサイバーリスクを念頭に、万が一マルウェアに感染してしまった場合に備え、感染後に迅速な対応を行えるようEDR製品の検討も行われた。
まず、EPPの「CylancePROTECT」導入の決め手として、高岡氏は3つのポイントを挙げた。
1つ目は、クラウド型のため、テレワークなどにより社内のネットワークに接続されていないPCにも対応できる点だという。加えて、クラウド型であれば、以前使用していたオンプレミス型製品のように管理サーバーを自社で構築する必要もないため、これまでサーバーの管理・運用にかかっていた工数の削減が期待された。
2つ目は、管理画面がわかりやすく使いやすい点とのことだ。特に、社内ネットワークに接続されていないPCに「CylancePROTECT」がインストールされ正常に稼働しているかといった確認や、それぞれのPCで検知されたマルウェアなどの情報を管理者が管理画面から確認できる点が大きなポイントになった。
そして、3つ目は高いマルウェア検知率であった。従来のパターンファイル型のアンチウイルスソフトの場合、定期的にパターンファイルの更新が必要な上、未知のウイルスへの対応が難しかった。しかし、「CylancePROTECT」はAI技術により未知・亜種のマルウェアも検知できる点が評価された。
加えて、EDRの「CylanceOPTICS」については、「他のEDR製品と比較してコストパフォーマンスが高かった」ことが大きなポイントになったと高岡氏は述べた。
「『CylanceOPTICS』は『CylancePROTECT』のオプションということで、すでに導入済みの『CylancePROTECT』を入れ替えることなく、わずかな追加費用で導入が可能だった。他のEDR製品には、さまざまな機能が付与されている分コストが高く、当社にとってはオーバースペックと感じるものが多かった。」(高岡氏)
「CylancePROTECT」および「CylanceOPTICS」の日常的な運用は、マルウェア検知時に送信される通知メールの受信をトリガーに、情シス部門が検知内容を管理画面で確認し、必要があれば対応を行っているという。
「CylanceOPTICS」の導入効果について、赤江氏は、
「『CylancePROTECT』と『CylanceOPTICS』の連携により、社外にあるPCについても検知結果が通知されるので、管理者側でもスピーディな対応が可能になり、初動対応の早期化につながっている」と話す。
さらに同社では、「CylancePROTECT」および「CylanceOPTICS」に加え、同じくエムオーテックスが提供するIT資産管理・MDM「LANSCOPE エンドポイントマネージャー クラウド版(以下エンドポイントマネージャー)」も導入している。
「CylancePROTECT」と「エンドポイントマネージャー」を連携させることで、「CylancePROTECT」がマルウェアを検知した際に、その前後の操作を「エンドポイントマネージャー」が収集しているログから確認することができるため、マルウェアの流入原因の追跡や再発防止に役立てることができている。
また、「CylancePROTECT・OPTICS」や「エンドポイントマネージャー」のサポート窓口がエムオーテックスに1本化されているため、各製品あるいは製品連携における不明点、連携時の活用方法などのサポートを容易に受けることができ、運用面での負荷が軽減されているという。
エムオーテックスのサポートについて、赤江氏は「前提として日々の運用が十分軌道に乗っており、メールを通じて問い合わせをすることが年に1回あるかないかの頻度だ」とした上で、「問い合わせに対するレスポンスも早く、具体的な事例などを交えて回答してくれるため、設定や運用方法が理解しやすく助かっている」と評価した。
高岡氏は、「新しいソリューション検討の際には、他社事例や運用情報など、実際の活用方法を示してもらいながら、製品選定や導入を進めることができた」と話した。
特に、EDRについては、「他の製品には多くの機能を備える製品もあり、社内にSOC(Security Operation Center)などの専門組織がないと運用できないのではないかといった不安を感じることがあった。しかし、『CylanceOPTICS』は、当社のように少人数でスモールスタートさせたい企業にうまくマッチしていた」と話す。そして、今後もさらなるセキュリティ対策の強化を検討しており、エムオーテックスには継続的なサポートをお願いしたいと高岡氏は締めくくった。
※本事例は2023年9月取材当時の内容です。