AIを活用したツールで情報漏えい対策を強化
内部不正も検知できる堅牢な環境を構築

ソニー生命保険株式会社と年金保険のリーディングカンパニーである蘭エイゴン・インターナショナルB.V.との合弁によって設立されたソニーライフ・ウィズ生命保険。「個人年金を人生年金へ」というスローガンを掲げて年金保険を中心としたビジネスを展開している同社は、最新のデジタルテクノロジーを活用してビジネスを変革する「デジタル戦略」を推進中だ。その一環として、AI（人工知能）を活用した英ダークトレース社のセキュリティ免疫システム Darktrace「Enterprise ImmuneSystem（以下Darktrace）」を導入。京セラコミュニケーションシステム（以下KCCS）が、この導入と運用支援を担っている。

1. 内部の脅威にも耐えうるようなセキュリティ対策を検討

一般の事業会社よりも、機微な個人情報を預かっている生命保険会社にとって、顧客情報の保護は極めて重要な課題だ。ソニーライフ・ウィズ生命保険でもデジタル戦略を推進する以前から、さまざまなセキュリティ対策を講じてきた。しかし、情報漏えい対策をいくら強化しても内部の不正行為を防ぐことは困難である。また標的型攻撃などのサイバー攻撃によって社内ネットワークに侵入されれば、アカウントを乗っ取られて重要なデータが盗まれる恐れがある。そこで同社では、デジタル戦略の展開をきっかけに、こうした脅威をさらに軽減するための対策を導入することを決断。2015年にセキュリティ対策を強化するロードマップを描き、2016年に実施する計画を立案、その一環として内部ネットワークのモニタリング強化を掲げた。

同社の情報システム部には30名程度が所属しているが、セキュリティ対策を専門とするメンバーは多くはない。ソニーライフ・ウィズ生命保険 情報システム部 ITセキュリティマネージャの磯貝 徹氏は「モニタリングは継続できるかが重要なポイントになります。セキュリティ対策の検討にあたっては、限られたリソースに対していかに運用を省力化できるかも課題でした」と語る。

内部不正を防ぐ対策として、採用されるケースが多いのが「SIEM（Security Information Event Management）」である。SIEMとは、サーバやネットワーク機器などのハードウェアと、アプリケーションやOSなどのソフトウェアからログ（利用履歴）を収集して一元管理し、それらを分析することで不正を検知する仕組みのことだ。ログの収集はツールで自動化できるが、“不正の可能性がある”と判定するルールは人間が決めなければならない。厳しいルールにすればアラートの数が膨大になり、緩やかなルールでは不正を見逃す恐れもある。さらに、新たな手口のサイバー攻撃が登場した場合にルールを変更する必要があり、運用は容易ではない。

さまざまなセキュリティ対策を検討する中で磯貝氏は、ネットワークを流れる通信パケットを監視して不正を検知するツールがあることを知り、複数ツールの中から最終的に選定したのが、英ダークトレース社が提供するセキュリティ免疫システム「Darktrace」である。2016年夏からの試用を経て、同年12月から本格稼働を開始した。

2. 機械学習を活用した不正・異常検知と、24時間365日対応の監視運用サービスが決め手に

このツールの大きな特長は、不正を検知する機能にAI技術の一種である機械学習を活用していることだ。ネットワーク内の通信パケットを分析し、正常な状態（不正が発生していない状態）の通信パターンを自己学習する。学習後は流れるパケットをリアルタイムに監視し、正常な状態のパターンから外れた際に「異常が発生した」と判断し、アラートを発する仕組みだ。

例えば、大容量データの複製や移動、外部の情報機器との通信、普段使っていないプロトコルの利用、労働時間帯以外における活発な行動、通常はほとんど利用しないWebサイトからの実行可能ファイルのダウンロードなどを検知する。一方で、業務上で頻繁に大容量データを複製するユーザの行動に対しては「異常が発生した」とは判断しない。磯貝氏は「機械学習によって正常な状態を学習し、そうでない場合は危険度によってアラートを上げてくれます。不正を判断するルールを人間が設定・変更する必要はありませんので、運用の省力化という要件にマッチしました」と評価する。

Darktraceはアプライアンス製品として提供されており、社内ネットワークのスイッチに接続し、簡単な設定を行えば、後は自動的に学習を開始する。ソニーライフ・ウィズ生命保険の情報システム部 システム業務課 統括課長 馬場 正晴氏は「SIEM製品では、どこから何のログを取るか設定し、ログを確認するための管理画面を作り込まなければなりません。その点、Darktraceは導入も運用管理も容易でした」と付言する。ソニーライフ・ウィズ生命保険では、データセンターのコアスイッチに接続し、内部ネットワークを流れるすべてのパケットを収集している。

また、KCCSが提供する監視運用サービスも選定の決め手になった。KCCSでは、Darktraceを導入した企業に対して、24時間365日の監視運用サービスを提供中だ。このサービスを利用すると、Darktraceが発するアラートが同社のセキュリティ監視・運用センター「SecureOWL Center」にも届くようになる。

平日の日中（9:30～17:30）は、同センターでアラート内容を確認、危険度が高い場合は専門のアナリストが原因および影響を分析・調査して「アナリストレポート」を作成し、セキュリティ担当者にメールで送信する。夜間や休日でも、危険度が高い場合はセキュリティ担当者に電話で連絡するという体制だ。KCCS セキュリティ事業部 セキュリティサービス課 西山 健太は、「KCCSでは社内CSIRT*を立ち上げ、他CSIRTとの情報共有や連携を図ることで、セキュリティインシデントを未然に防止する取り組みを行っています。ここで培った知識と経験を、監視・運用サービスに活かしています」と話す。

*CSIRT：Computer Security Incident Response Team

3. 社員の行動を可視化、異常検知後の分析・調査の運用負荷を軽減し、生産性が大きく向上

Darktraceの導入により、ログを見ても把握できなかった社員の行動が可視化でき、リアルタイムに異常を検知できるようになった。この点について馬場氏は「万が一、情報が流出するようなインシデントが発生した場合でも、その後の対処を迅速に進められます」と評している。

現在のアラート発生件数は、平均すると1日に1件程度。ほとんどが業務上の要件によって、通常とは異なる行動を取ったために発生したアラートだという。試行期間も含めて、今まで外部からのサイバー攻撃や内部の不正による被害は発生していない。

磯貝氏は「セキュリティ対策では、異常を検知した後の分析・調査に大きな手間が掛かりますが、KCCSは、内部のネットワークの仕組みや、ビジネスの仕組みも理解し、柔軟に対応してくれます。アナリストレポートを含め、KCCSに任せたことで生産性が大きく向上していると感じます」と語る。KCCS セキュリティ事業部 東日本インテグレーション課責任者 早坂 寿晃は「当社ではお客様のご要望に基づいてサービスの品質を高めることに努めています。定型的なサービスを提供するだけでなく、お客様と一緒に、お客様の課題を解決していくという体制を築いています」と語る。

セキュリティ対策に終わりはない。ソニーライフ・ウィズ生命保険では今後もセキュリティ対策の強化を継続していく姿勢だ。KCCS ソリューション営業統括部 東日本セキュリティ営業課 大関 慶は「セキュリティ脅威は、日々複雑化、巧妙化しています。今回はDarktraceの導入でしたが、セキュリティならKCCSに全部任せていただけるよう、さらに監視運用の品質を上げるとともに、お客様の課題に応じた新たな提案を行っていきたいと思います」と意気込みを語る。KCCSでは、ソニーライフ・ウィズ生命保険のセキュリティ対策向上を継続的に支援する考えだ。

監視運用サービスイメージ