Splunkとの組み合わせで状況を可視化、
最小の投資で最大の効果を発揮

株式会社二木ゴルフ
野口 卓 氏

基本情報
設立
1973年10月
従業員数
597名(2018年12月現在)
管理台数
業種
小売業
URL
https://www.nikigolf.jp/top/
効果、目的

上野・アメ横からスタートし、今や全国に55店舗を展開する株式会社二木ゴルフ(以下、二木ゴルフ)。「ゴルファーがもっと好きになる」を合言葉にしてゴルフ用品を販売してきた同社が大切にしてきた経営方針が「顧客第一主義」だ。その延長で、「お客様から預かった大切な個人情報の安全を確保する、その方針から外れないようにしている」と、二木ゴルフの野口卓氏は述べた。

二木ゴルフではこの方針の一環として、2000年ごろから本格的にセキュリティ対策を推進するとともにLanScope Catを導入し、IT資産管理とログ情報の収集を行ってきた。「ウイルス感染などのインシデントが発生した際には、アンチウイルスソフトのログとLanScope Catのログを元に、ユーザーの操作を確認しながら原因を調べてきた」(野口氏)

多層防御に取り組み、LanScope Catの操作ログも含めたようなデータを一元管理

だがサイバー攻撃は年々巧妙になり、新たな手口も登場している。「サイバー攻撃に包括的に対策するにはエンドポイントの保護だけでは十分でないと判断し、多層防御の視点を取り入れて、各レイヤーで満遍なく対策していく方針を決めた」(野口氏)

特に、侵入後に外部の不正サイトと通信し、社内で横展開を広げて情報を盗み取る標的型攻撃への対処を念頭に置き、ネットワーク型サンドボックス製品とEDR製品を導入。未知のマルウェアも含め、何らかの脅威を検知したら感染端末を隔離し、OSの再インストールといった対処を取るとともに、ログを元に感染原因の調査も進める仕組み作りに取り組んだ。

ただ、二木ゴルフでITシステムやセキュリティ関連の業務を担っているのは、野口氏を含めわずか4人。うち2名は主に店舗からの問い合わせに対応するコールセンター的な役割を担っており、「実質的には2名でインフラやネットワーク、オンプレミスのサーバ管理からスクラッチのアプリ開発、データ分析、それに新規事業の開発などを行ってきた」と野口氏は述べる。

こうした状況で、集約したログを元に効率よく調査を進め、インシデント対応の省力化、自動化、効率化を進めるためにSIEMの実装を進めていった。その際に重視したのは「中小企業で兼任体制の組織であることから、最小の投資で最大の効果を上げることを考慮した」(野口氏)だったという。

高度な相関分析までは必要としないと判断し、ログを一元管理し、その情報を元に効率よく調査できる体制を整えることを目的に、LanScope Catの操作ログに加え、Active Directoryのログやサンドボックス製品が生成するデータを、総合ログ管理プラットフォームの「Splunk」で一元的に収集し、簡単なキーワードで検索できる体制を整えていった。

その中で、いったんはEDRを導入したものの、感染原因の調査にはマルウェアの挙動に関する専門的な知識や、アラートの処理に当たる相応の体制が必要なこともわかってきた。そこで野口氏らは、EDR製品に代わって、マイクロソフトから無償で提供されているツール「Sysmon」を採用。LanScope Catのファイル配布機能を用いてインストールし、ログを収集できる体制を整えた。

「LanScope Cat App」を活用し、複数のダッシュボードを駆使して状況を可視化

現在二木ゴルフでは、攻撃メールの開封状況、添付ファイルの実行状況などを確認できる「攻撃メール調査」、各端末ごとに各種ログを一括表示し、端末使用者の行動を容易に追跡できる「エンドポイント調査」、業務関連ファイルが短期間に異常な頻度でコピーされたり、外部ストレージにアップロードされていないかをチェックできる「内部情報持ち出しリスク調査」といった具合に、複数のダッシュボードを活用して状況を把握している。

それを可能にしているのが、SplunkにインストールできるAppの形で提供されている「LanScope Cat App」だ。二木ゴルフでは、エムオーテックスとSplunkが共同で開発したこのAppを活用することで、「非常に簡単な操作でSplunkとLanScope Catのデータが連携できるようになった」(野口氏)

さらに、前述のSysmonの情報も取り込み、1つのコンソールで、ネットワークからエンドポイントのログまでをまとめて調査できる仕組みを整えた。「その人が何を見にいったか、どの実行ファイルを実行したかはLanScope Catの操作ログが残るし、ファイル実行後に端末内でどのような活動が行われたか、どんなプロセスが呼び出されたかはSysmonで詳細に記録される。何を起点としてウイルス感染が始まったのか、LAN内でどこまで横展開し、影響が及んでいるかの調査を容易に行えることが、LanScope CatとSysmonを組み合わせるメリットだ」(野口氏)

二木ゴルフでは、最小の投資で最大の効果を得るための構成として構築を始めた分析プラットフォームを、セキュリティ調査だけでなく、BIやデジタルトランスフォーメーションといった領域に活用していくことを検討。並行して、アラート傾向分析にも取り組む方針だ。

最後に野口氏は「兼任体制でもできるセキュリティ対策とは、不審な動きをするPCを見つけたら調査し、自動的に説明責任を果たせる状態が整っていることと考えている。そして、LanScope CatとSplunkの組み合わせでこの状態を整えることができる」と強調した。