1947年の創業以来、有機化合物の研究・開発に取り組んできた有機合成薬品工業株式会社。同社は、巧妙化するサイバー攻撃に対するエンドポイントの防御力向上や、情報システム部門の運用負荷軽減などを目的に、次世代AIアンチウイルスである「LANSCOPE サイバープロテクション powered by Aurora Protect (以下Aurora Protect)」、およびEDR(Endpoint Detection and Response)製品である「LANSCOPE サイバープロテクション powered by Aurora Focus(以下Aurora Focus)」を導入。さらに、同製品と連携可能なIT資産管理・MDM「LANSCOPE エンドポイントマネージャー クラウド版(以下エンドポイントマネージャー)」も活用して運用している。導入の経緯や効果について、同社 情報システム課長の小澤 康幸 氏と、情報システム課 課長代理の木村 慎二 氏に話を聞いた。
同社では、エンドポイントセキュリティ対策として、これまではパターンファイル型のアンチウイルスと、AIによる振る舞い検知型のEDRを併用していた。
しかし、正規のOSツールや機能を悪用する「ファイルレスマルウェア」をはじめ、巧妙化するサイバー攻撃に対し、「従来のアンチウイルスでは十分に対応できない」点が課題となっていた。
さらに、情報システム部門の運用負荷も大きな懸念事項だった。木村氏は「従来はオンプレミス環境で運用していたため、管理対象のPCはパターンファイルの更新時、社内ネットワークに接続されている必要がありました」と説明する。さらに、「最新のパターンファイルが適用されているかどうかを管理コンソールで確認し、個別に対応する作業は大きな負担でした」と続けた。
また、木村氏は、「従来の運用設計では、アンチウイルスで防げなかった脅威をEDRが検知し、調査する仕組みとなっていたため、検知・防御をEDRに依存している状況と言えました」とも語った。
本来はアンチウイルスで検知・防御できるのが理想だが、実際にはEDRでの調査や原因分析が必要となり、その対応が情報システム部門の工数を圧迫していた。
加えて、「EDRの運用面についても、自社でホワイトリストやルールの設定などを行うことができない契約形態となっていたため、自社に運用を最適化できず、結果的に運用負荷が高くなってしまっていました」と話し、アンチウイルスとEDRが統合された製品への切り替えを検討する必要性を感じていたと説明した。
「EDR製品に重きを置いていたためコストも高く、運用負荷と合わせて、よりコストパフォーマンスの高い製品への移行を検討するに至りました。」(木村氏)
新たなセキュリティツールの検討について、木村氏は「複数の製品を比較検討したうえで、最も要件に合致したAurora ProtectとAurora Focusを選定しました」と説明する。
まず、 Aurora Protectを選んだ大きな理由の一つが高い防御力だった。
「展示会でマルウェアを検知・防御するデモを見て関心を持ち、その後も情報収集を続けていました」と木村氏は振り返る。
従来はアンチウイルスとEDRを別々に運用していたが、移行後もセキュリティレベルを落としたくないという同社の要件に対し、Aurora Protectは十分に応えられると判断した。
次に、管理者の負担軽減も評価ポイントとなった。
テスト運用の際に、過検知が少なく、設定も手間をかけることなく行える点を確認できた。小澤氏は「アンチウイルスとEDRが一体となったAurora製品に移行することで、日々の運用工数の削減が見込める点も決め手でした」と語る。
また、同時期に導入した、同じくエムオーテックスが提供するIT資産管理ソリューションであるエンドポイントマネージャーとの連携機能も、選定時に重視されたポイントだ。
同社ではすでにエンドポイントマネージャーを活用しており、エンドポイントマネージャーとAurora製品の連携機能によって、アラート対応時のログ追跡作業を効率化できると見込んでいた。
「以前はEDRの検知アラートに基づき、手作業でログを確認していたため、対応に時間がかかっていました。両製品の連携により、この工数が大幅に削減できると期待しました」と木村氏は話す。
さらに、管理コンソールの使いやすさも評価された。
「Aurora ProtectとAurora Focusはコンソールの設計が分かりやすく、アラートへの対応もスムーズに完了できる印象でした。」(木村氏)こうした操作性の良さは、業務の属人化を防ぐうえでも有効であった。
そして最後に、コストパフォーマンスの高さが導入の決め手となった。
「選定にあたって比較した他社製品は、防御力こそ高評価でしたが、アンチウイルスとEDRが統合されておらず、オプションも多く、コストが膨らむ傾向にありました」と木村氏。
それに対し、Aurora ProtectとAurora Focusは必要な機能を備えつつ、コストも抑えられていた点が高く評価された。
導入時は、既存のアンチウイルス・EDRとの並行運用期間を経て、Aurora ProtectとAurora Focusへの完全移行が実施された。
「Aurora製品のインストール展開は、エンドポイントマネージャーの配布機能を活用し、設定もエムオーテックスのマニュアル通りに進めれば問題なく完了したので、苦労した点はほとんどありませんでした」と木村氏は振り返る。
小澤氏も「一斉導入ではなく、エリアを分けて段階的に展開したことで、情報システム部門の負荷も抑えられました」と説明。導入初期に数件の社内問い合わせはあったものの、大きな混乱はなく、約2ヵ月で全端末への導入が完了したという。
日々の運用は、2〜3人の体制で、約330台のPC端末を管理している。
木村氏によれば、「業務で使用するファイルが稀に過検知で隔離されることがありますが、セキュリティを保ちつつ、業務上必要なファイルのみをホワイトリスト化するためのルール設定を中心に対応しています」とのことだ。
管理コンソールの確認頻度については、「以前は週に一度ほどでしたが、現在は月に1〜2回程度で済んでいます。導入初期の過検知対応が落ち着いて以降、安定した運用ができています」と木村氏は話す。
小澤氏も「導入前は業務に必要なプログラムが誤検知されてしまって業務に支障が出るのではと懸念していましたが、今では安心してAurora Protectを使えています」と語る。
そして、導入による効果は多方面にわたっている。
まず、防御力の向上を実感しているという。木村氏は「Aurora Protectに切り替えた当初から、セキュリティの強化を感じました。これまで検知できていなかったフリーソフト由来のアドウェアなど、潜在的な脅威も拾えるようになっています」と評価する。
次に、情報システム部門の運用工数削減も大きな成果の一つだ。
「パターンファイルの更新や配布作業が不要になり、アンチウイルスソフトのバージョン管理も管理コンソール上で確認するだけで済むようになりました。全体として作業工数が大きく減っています」と木村氏は説明する。
さらに、より安全なエンドポイントセキュリティの仕組みが整ったことも大きな導入効果だ。
小澤氏は「端末ユーザーはAurora Protectの存在を意識することなく、通常業務を行えています」と述べ、「ユーザー教育やリテラシーに依存するのではなく、仕組みでセキュリティを担保できている点は非常に大きいです」と評価する。
エムオーテックスのサポート体制についても、導入から運用まで安心感があったという。
木村氏は「導入検証の段階からエムオーテックスに支援いただき、疑問点もその場で解消できました。本番稼働後も、サポートサイトを月に1〜2回ほど確認する程度で、問題なく対応できています」と話す。
小澤氏も「検証時から手厚くサポートしていただき、本番稼働後も大きな問題なく運用できているので、サポートの品質にも満足しています」と語った。
今後の展望やエムオーテックスへの期待について、小澤氏は「現状の運用には大きな問題はなく、コストパフォーマンスについても、当初の期待を上回るレベルで応えていただいており、非常に満足しています」と語る。
その上で、「セキュリティ製品は日々進化しており、この製品が唯一の選択肢というわけではありませんので、今後もさらなる製品改善や高品質なサポートの継続を期待しています。長く安心して使い続けられるような製品であってほしいです」と期待を込めた。
また、木村氏は「機能面・サポート面ともに十分満足しています」としたうえで、「製品ユーザーの声を反映した機能改善を今後も継続し、より使いやすく、弊社のセキュリティ向上に貢献する製品へと進化していってほしい」と締めくくった。
※本事例は2025年2月取材当時の内容です。
※Arctic Wolf Networks社によるBlackBerry社のCylance事業買収に伴い、現在、旧:CylancePROTECTは「Aurora Protect」に、旧:CylanceOPTICSは「Aurora Focus」に名称変更されています。