鳥取県民の豊かな生活に貢献するため、宅配事業を中心に事業を拡大してきた鳥取県生活協同組合。同組合では、以前からエンドポイントセキュリティ対策を行っていたものの、他県の生活協同組合(生協)で発生した大規模なサイバー攻撃事案や同組合への攻撃の兆候などを契機に、経営層はさらなるセキュリティ対策強化を喫緊の課題と捉えていた。
そこで、システム部門の運用負荷を軽減しつつ、より高度なセキュリティ対策を図るため、EDR(Endpoint Detection and Response)製品に運用代行サービスを付加したマネージドEDR「LANSCOPE サイバープロテクション powered by Aurora Managed Endpoint Defense(以下Aurora Managed Endpoint Defense)」の導入を決定。導入の経緯や導入後の効果について、同組合 代表理事 専務理事の長谷川 和史 氏と、管理部 システムグループの福本 正志 氏に話を聞いた。
同組合の情報システム部門としては、福本氏が所属する管理部 システムグループがIT環境の運用管理を担っており、福本氏を含む2名体制で日々の業務を遂行している。
福本氏によると、同組合では従来、エンドポイントに対する基本的なセキュリティ対策は講じていたものの、近年のサイバー攻撃の高度化を受け、セキュリティ対策を経営層も最重要課題として捉えるようになっていたという。
その背景には、他県の生協が被害に遭った大規模なサイバー攻撃の存在があった。長谷川氏は「この事案により宅配事業が長期間停止する事態となってしまい、大きな損失があったと聞いています」と述べ、「私たちの組合でも起こり得ることとして事態を捉えると決して他人事ではなく、こうした事案発生後に対応を取るのでは遅すぎるという危機感が、組織内に改めて共有されました」と経緯を振り返る。
また、福本氏も「私たちの組合でも実際、VPNの脆弱性を狙った攻撃を受けた経験があり、セキュリティ対策強化の必要性を強く感じました」と振り返った。
こうした危機意識の高まりを受け、同組合が2024年度に策定した3カ年の中期方針では、「自然災害やサイバー攻撃への備え」が重点施策の一つとして明記された。
しかし、その一方で、実際のセキュリティ運用の現場では、アラート対応やインシデント発生時の原因特定など、高度に専門的な知識を要する業務が担当者に集中し、大きな負荷がかかっている状態であった。
福本氏は、同組合のセキュリティ運用体制について、「2名体制であることに加え、セキュリティに特化した専門知識を持つ担当者がいないため、日々の対応に限界を感じていました」と語る。長谷川氏も「若手職員をジョブローテーションで育成していますが、セキュリティ分野の専門スキルは短期間では習得できません」と、人材面での課題を挙げた。
こうした背景から、エンドポイントの防御力を強化しつつ、現場の運用負荷を軽減できる新たな対策を検討することとなった。
そこで、同組合がさらなるエンドポイント対策として注目したのがEDR(Endpoint Detection and Response)であった。EDRとは、端末上での不審な挙動を迅速に検知し、原因調査や対処を可能にする製品である。侵入を前提に備えるという発想のもと、従来の対策では防御し切れない未知の攻撃などにも有効である点がEDRの大きなメリットではあるが、その一方で、運用に際しては検知アラートへの対応や分析、過検知・誤検知の判別など、高度な専門知識が求められ、限られた人員体制では運用負荷が大きいという課題もある。
そこで同組合では、EDR製品の導入に加え、その運用を外部の専門家に委託するマネージドサービスの利用も選択肢として検討。複数のサービスを比較した結果、選定されたのがマネージドEDR「Aurora Managed Endpoint Defense」であった。
「Aurora Managed Endpoint Defense」は、次世代AIアンチウイルス「Aurora Protect(旧CylancePROTECT)」や、EDR製品「Aurora Focus(旧CylanceOPTICS)」と連携し、24時間365日の脅威監視を代行するマネージド型のセキュリティサービスである。
同組合が特に評価したのは、EDR運用を支援する専門家の対応力だ。検知アラートの重要度を見極めて優先度を明示するほか、導入先の環境を理解した迅速なサポートによって、現場の負担を大幅に軽減できる点に高い期待が寄せられた。
また、導入の決め手としては、同組合にすでに導入しているIT資産管理ツール「LANSCOPE エンドポイントマネージャー オンプレミス版(以下エンドポイントマネージャー)」や、次世代AIアンチウイルス「LANSCOPE サイバープロテクション powered by Aurora Protect(以下Aurora Protect)」との親和性が挙げられた。
「もともとエムオーテックスが提供しているエンドポイントマネージャーやAurora Protectを長年使っていたこともあり、同じくエムオーテックスが提供するAurora Managed Endpoint Defenseであれば、連携しやすく、運用管理の一元化が図れると考えました」と福本氏は語った。
このようにして、24時間365日体制で脅威監視から運用支援まで専門家に任せることができるマネージドEDR「Aurora Managed Endpoint Defense」のサービスを、現場の課題を解決できる有効な選択肢と判断し、導入を決定したという。
EDR製品の導入、およびマネージドサービス利用開始時のことについて、福本氏は「Aurora製品の開発・提供元であるArctic Wolf社の担当エンジニアによる週1回の定例ミーティングに加え、不明点があればメールで随時対応いただき、非常に手厚いサポートを受けました。」と振り返り、導入時に大きな問題はとくに発生しなかったという。
そして現在は、24時間365日体制でArctic Wolf社のSOC(Security Operation Center)が脅威を監視し、必要な場合のみ管理者に通知が届く運用に移行している。
そして、これにより、福本氏が最も大きな導入効果を実感したというのが、運用負荷の大幅な軽減だ。
サービス利用開始後は、同組合において管理・運用を担当する福本氏を含む2名が確認しなければならないアラート件数が激減し、日常的な監視やログ確認にかかっていた作業の多くが不要となった。
「以前は月に何度もアラートが発生し、多いときには深夜対応が続くこともありました。今ではそれが大幅に減少し、精神的な負担も大きく軽減されています」と福本氏は語る。
また、Arctic Wolf社から提出される月次レポートでは、たとえば「6月には約900件のイベントが検知されたものの、すべてセキュリティ上の影響はないと判断され、対応不要とされた」といった監視状況が同組合に共有されるため、自組織のセキュリティレベルを定期的に確認できる安心感にもつながっているという。
長谷川氏は、今回のマネージドEDR 導入成功の要因を、同組合において経営層がセキュリティを「コスト」ではなく「将来への投資」として捉えていたことだと述べた。
「コロナ禍で伸長した宅配事業により得られた剰余金を活用し、組合員の理解も得ながら、BCPの観点で前向きに取り組めたことが大きかったと思います」と総評した。
よって今後も同組合では、セキュリティ強化を継続的に推進していく方針だ。現在は120ライセンスでAurora Managed Endpoint Defenseを運用しているが、一部のデスクトップPCやノートPCに未導入の端末があり、「2025年中にライセンスを拡張し、全端末への適用を完了させる予定です」と福本氏は語った。
また、同じエンドポイントの対策としては、IT資産管理の面で、既に導入・運用しているエンドポイントマネージャーについて、モバイル端末の利用が増加しているという背景から、現在利用しているオンプレミス版から、より柔軟な対応が可能なクラウド版へ移行する計画も進行中であるということだ。
そして、セキュリティ製品・サービスの導入といった技術的な対策だけでなく、人的リスクへの対策にも力を入れていきたいという。
「標的型攻撃メールなどのインシデントを防ぐには、一人ひとりのセキュリティリテラシーの向上が不可欠です。今後は従業員への教育施策もさらに強化していきたいと思っています」と福本氏は述べる。
最後に、長谷川氏は今回の導入を振り返り、「職員が健康でやりがいを持って働けることが経営の基本。その意味で、安心して働ける環境づくりに貢献できました」と手応えを語った。
福本氏も、管理者による運用管理という具体的な側面を改めて振り返り、「運用体制の限界や専門人材の不足に悩む企業にとって、マネージドEDRは有力な選択肢であり、Aurora Managed Endpoint Defenseは大きな助けになると感じました。ぜひ中国・四国エリアの生協にも、私たちの今回の知見を共有していきたい」と述べ、締めくくった。
※本事例は2025年7月取材当時の内容です。
※Arctic Wolf Networks社によるBlackBerry社のCylance事業買収に伴い、「CylancePROTECT」は「Aurora Protect」に、「CylanceOPTICS」は「Aurora Focus」に、「CylanceMDR」は「Aurora Managed Endpoint Defense」に名称変更されています。