九州6県(福岡・佐賀・長崎・宮崎・鹿児島・沖縄)の信漁連が合併し、「九州信用漁業協同組合連合会(JFマリンバンク九州信漁連)」として2021年4月に新たにスタートした九州信用漁業協同組合連合会(以下九州信漁連)。同会は、合併間もない2023年にランサムウェアによる被害を経験したことから、サイバーセキュリティ強化の一環でIT資産管理・MDMの「LANSCOPE エンドポイントマネージャー クラウド版(以下、エンドポイントマネージャー)」と、AIアンチウイルス「LANSCOPE サイバープロテクションpowered by Deep Instinct」(以下、Deep Instinct)を導入。本事例では、エンドポイントマネージャー導入の経緯や効果について、九州信用漁業協同組合連合会 総合企画部 事務システム企画課 部長の堀田 龍介氏に話を聞いた。
「九州信漁連として組織は合併したものの、情報システムは、県単位で管理していたシステムがバラバラに存在している状態だった」と、堀田氏は当時を振り返る。
そうした中で、同会は合併直後にランサムウェアの被害に遭ってしまった。合併された組織内で、IT資産管理をどのように運用しているかが可視化できていない状況にあったため、再発防止策を検討する中で、「まずはPCなどのIT資産の管理・運用を統合する」方針を決定した。その上で、アンチウイルスを導入しセキュリティ強化を行うこととなった。
セキュリティ対策については、これまではファイアウォールなどのネットワークセキュリティや、アンチウイルスソフトなどのエンドポイント対策を各県の組織が独自に実施していた。
「ランサムウェアの被害によるお客様への実害は確認されませんでしたが、地域の金融機関として、セキュリティ対策の強化を重要なテーマとして位置づけ、取り組むこととしました。これまでのセキュリティ対策に加え、PCなどのIT資産管理やUSBメモリーなどの記憶媒体、業務上PCにインストールするソフトウェアの管理を強化していくことになった」と堀田氏は導入の経緯を説明した。
再発防止策を策定後、具体的なセキュリティ対策におけるツールの選定がはじまった。新たなIT資産管理ツールに求める要件として、堀田氏は「クラウド型の製品を前提に選定を行った」と話す。
それまでは6県の組織が別々のツールをオンプレミス環境で管理・運用していたが、合併後は組織が九州の広範囲にまたがることとなるため、サーバーなどの管理・運用も必要なオンプレミス環境では今後を見据えると対応しきれないと判断したという。
また、管理者である情報システム担当者の運用負荷軽減や、端末がインターネットに接続できていれば、ほぼタイムラグなく管理できるといった特長も鑑み、クラウド型の製品を前提に選定を行った。
選定の結果、クラウド型のIT資産管理・MDMツールとしてエンドポイントマネージャーを、ウイルス対策としてAIアンチウイルス「Deep Instinct」を選定した。
エンドポイントマネージャーについては、操作ログの収集機能など、これまで使用していたオンプレミス型のIT資産管理ツールと同等の機能を備えているクラウド型の製品である点を評価した。
Deep Instinctは、同じくクラウド型の製品で、担当者の運用負荷となるパターンファイルの更新が不要となるAIアンチウイルスである点、LANSCOPEブランドのもと両製品ともエムオーテックスから提供されており、エンドポイントマネージャーと連携可能な点を評価し選定に至った。
「導入時には、これらのツールを管理する情報システム担当の運用負荷に対する配慮に加え、従業員からの理解・協力を得ることに配慮した。というのも、エンドポイントマネージャーの導入は、PCを利用する従業員側としては、PC操作が大きく変更されるなどの環境の変化は伴わないが、デバイス制御やソフトウェアのインストールの部分で業務フローが変わるためだ」と堀田氏は説明する。
例えば、USBメモリーなどの外部記憶媒体は原則利用禁止をルールとした。しかし、全面的に禁止すると業務に支障が出てしまうケースがあった。セキュリティの観点から勘定系システムではCDやUSB メモリーなどの記憶媒体で情報の授受を行うよう設計されているため、利用を禁止すると業務に支障が出てしまう。そのため、業務上必要な場合は従業員が都度申請を行い、情報システム部門は申請を受けて一時的にエンドポイントマネージャーの制限を解除するルール・業務フローを確立した。
「6県の組織の中には、一部を制限していた組織もあれば、全面的に許可している組織もあったため、全組織共通の業務ルールとすべく、すべての従業員に対して周知を含めて理解を得ていった」と堀田氏は話した。
外部記憶媒体を全面的に禁止すると業務に支障が出てしまうケースがあった。
さらに堀田氏は、同会における特徴的な運用として「情報システム担当と運用委託先ベンダーで、オリジナルのレポートを利用しセキュリティを可視化する仕組みを構築した」点を挙げた。
エンドポイントマネージャーで取得した操作ログなどのデータを月次でレポートにまとめており、ログデータから情報漏洩などのリスクとなりうる可能性がある操作を発見した際には、現場責任者と連携し従業員に注意喚起を実施している。このようにレポートによる可視化に加えて、セキュリティ上必要な管理を行っていることを組織内に周知することで、従業員のセキュリティ意識の向上にも役立てている。
堀田氏はエンドポイントマネージャーの導入効果として、ログの管理やWindows Updateが未適用のデバイスを可視化するといったエンドポイントセキュリティの「見える化」を挙げた。導入・運用によってWindows Update未適用の端末が減少しているなど、情報システム担当者として効果を感じているという。
今回のツール導入によって「セキュリティ対策は一定レベルに達した」と堀田氏は見ている。その上で、今後は「内部不正監視」にも活用範囲を広げることがテーマになるとした。
「本会は勘定系システムを利用している兼ね合いで、外部記憶媒体の利用頻度が他の組織と比べると高い傾向にある。原則利用しないようエンドポイントマネージャーで制御しているが、日次で数件は制限解除申請が上がってくる状況だ。外部記憶媒体は、正当な業務利用の目的で利用される分には問題ないが、内部不正につながりやすい側面があることも考慮する必要がある。制限を強めれば利便性が下がるため、内部不正防止と利便性を両立する仕組みを今後も構築していきたい」とのことだ。
同会では、エンドポイントマネージャーの活用がまだまだ入口にあると認識しており、それほど多くない人数の運用体制ということもあり、「上手く使いこなせるか」「せっかくのツールが宝の持ち腐れにならないか」という点を懸念しているとのことだ。しかし、この点について堀田氏は、「今後はエムオーテックスとの連携をさらに進め、ツールの有効活用の面でもアドバイスを得たい」と述べ締めくくった。
※本事例は2024年3月取材当時の内容です。