1,000人以上の従業員を抱える中・大規模の製造業には、いわゆる製造業特有の課題が原因でネットワークを可視化できず、セキュリティリスクを実感しているところもあるはずだ。本記事では、いま注目の次世代型セキュリティであるNDR(Network Detection and Response)ソリューションによってネットワーク全体を可視化し、さまざまなセキュリティ課題を解決した事例を紹介する。
製造業が抱える共通テーマを自動車関連会社に見る
一定程度以上の規模を持つ製造業の会社には、セキュリティの観点で共通した背景と課題がある。1つ目は、多数の拠点を抱えること。合併やグループ化により拠点が増えていった場合などは、もともと異なるネットワーク環境であったことから、脅威に対する穴も発生しやすい。
2つ目は、雇用形態が多様化していること。生産現場から営業・販売、事務・管理、さらには研究部門までさまざまな職種の従業員が働いており、セキュリティポリシーが部門ごとに異なる事態もよく見られる。
そして3つ目は、これは製造業に限らないが、開発情報をはじめ多くの機密データを扱っている一方で、近年ではデータ活用やIoT導入を積極的に進めており、セキュリティの穴が増加していること。たとえばIPを保有しているものの、プラットフォームの問題 からセキュリティ対策が不十分であったIT資産(ネットワークに接続しているIoTデバイス、IP電話、プリンター、検証環境など全デバイス)が、そのままになっているケースが多い。
こうした状況のなか、コロナ禍への対応でリモートワーク環境をVPNで急速に構築したことから、その脆弱性を突かれ、2020年春以降、攻撃を頻繁に受けているという声も多くの製造業から聞かれる。
これらに共通しているのが、ネットワークの可視化ができていないという点である。複数拠点にわたる多様なネットワークのセキュリティ状況を一元的に把握することは難しいため、攻撃を受けてもすぐには検知できず、必然的に対応も遅れてしまう。
自動車関連の電気機器や精密部品を製造するA社も、まさにこの課題を抱えていた。全国に数カ所の工場と、1,000人を超える従業員を擁するA社は、近年、地方企業のグループ化によって事業を拡張してきた。A社の情報システム部門の管理者であるB氏は、この状況とそれにまつわる懸念を次のように話す。
「企業によってネットワーク環境や使用するデバイス、導入サービスに違いがあり、統一感を持たせたセキュリティ施策を行えていないことは、5年ほど前から課題と感じていました。そんななか、攻撃をしばしば受けるようになり、大きな被害には至らなかったものの、ちょっとしたトラブルが発生してしまったのです。いまの時代、攻撃を受けること自体は一般的になってきているので対策はしているつもりでしたが、 攻撃者の侵入に早期に気づけず、事後のログ調査ではじめて判明したため、社内で問題視されました」
ネットワーク全体を見える化することの重要性とは
サイバーセキュリティの主流は「侵入させない」対策から、「侵入は当たり前」でそれをいかに検知し、実害を防ぐかに移っている。そのためにも、ネットワークを常に監視し、そこで起きるイベントを可視化しておくことはきわめて重要なポイントだ。
「当社でもアンチウイルス製品は当然導入していますので、明らかに怪しい動きなら検知可能です。しかし一見、怪しい挙動でない場合は、気づかないうちにほかの端末へと横展開されてしまいます。前回は軽微な被害で済みましたが、もしも重大なインシデントが発生したら会社のレピュテーション低下にもつながるため、早急な対策が必要でした。現場からも攻撃に素早く気づくため、ネットワーク状況を広範に押さえられるツールへのニーズが高まっていました」とB氏。そこでA社は数年前、あるベンダーのツールを導入し、ネットワーク可視化を試みたという。ところが……。
「そのツール、ネットワーク状況をグラフィカルに表していて、画面はたしかにカッコいいのですが、逆にいうとGUIが明瞭さを欠いて見づらく、事案の調査がしにくいという問題点が浮上しました。また、ノイズ(誤検知・過検知)も多く、結局はSOCに運用の負担をかけることになってしまったのです」
そんな状況のまま、A社は1年ほど前から働き方改革で一部の部門にテレワークを導入したことをきっかけに、VPNの脆弱性を突く攻撃への脅威が現実のものとなった。拠点が拡大したなかでもネットワークをわかりやすく可視化し、ラテラルムーブメント(横展開)も含めて多様な脅威をしっかり検知できるソリューションを求めて、マクニカネットワークスに相談を持ちかけたという。
依頼を受けたマクニカネットワークスはまず、A社へのヒアリングを実施。これまでに起こったインシデントや現在導入しているツールの懸念点、今後A社がどのような働き方の多様性を計画しているかなど、A社がいま抱える課題はもちろん、今後の展望についても話を聞いた。その結果、マクニカネットワークスが提案しA社が導入したのが、AIを活用してネットワーク全体を可視化し、攻撃を早期に検知するNDRソリューション「Vectra AI」である。
見やすい画面でセキュリティと運用性を高める「Vectra AI」
SIEM、EDRに続く次世代型セキュリティとして注目のNDRは、従来の境界防御とエンドポイントセキュリティのはざまに位置するネットワーク全般、すなわちデータセンターも閉域網も、クラウドもリモート環境・VPNも含め、広範囲を俯瞰的に可視化するソリューションだ。
NDRのなかでも「Vectra AI」は、わかりやすいGUIによる見やすさと運用のしやすさ、AIによる脅威検知率の高さが評判の製品だ。ダッシュボードではホストの脅威レベルをひと目で確認でき、重要資産や高リスク端末、脅威の検知状況なども一つの画面で表示されるため、運用負荷の軽減に寄与する。AIについては世界中のデータを活用したグローバルラーニング(教師あり機械学習)と、社内独自の環境や振る舞いをベースとするローカルラーニング(教師なし機械学習)があり、誤検知・過検知を最小限に抑えて脅威を検出できる。ローカルラーニングとグローバルラーニングで検知した結果を組み合わせることにより、検知が発生した端末の脅威度が自動的に評価され、脅威度の高い端末をGUIに一覧として可視化できる。
「そうはいっても以前の別ベンダーのツールに使いにくさや検知の課題を感じていたことから、今回採用を決めたあとも効果に関してはやや不安がありました。また、『Vectra AI』をネットワークの適切な位置に導入できるかどうかも心配でした」とB氏。効果については、実際の機器を用いたPoCによる製品評価で安心したという。導入についても、マクニカネットワークスによる親身な対応と設定チューニングなどの導入支援が安心材料になったとB氏は答えた。
「近年、合併が増えていたこともあり『Vectra AI』をコアスイッチに設置すればすぐさま全ネットワークを可視化できるという状況にはありませんでした。そこで、まずは重要資産を含む社内サーバに対するネットワークへ『Vectra AI』を導入し、社内サーバに対して発生する脅威対策を目的に監視を開始しました。重要資産などに対する可視化で効果を確認し、そのほかの部分に対しても監視を広げていくことで、システム全体を可視化することができました。加えて、EDRだとキッティングなどの手間がかかりますが『Vectra AI』はエージェントレスで導入できるのもメリットでした。またIPを保有していながらも従来のセキュリティ対策製品ではカバーできなかった IT資産(IoTデバイスや、IP電話、開発環境の全デバイスなど)も、『Vectra AI』で可視化・検知することができるため、組織全体を把握するのに、非常に役立っています。」
採用決定から導入完了まで3カ月程度かかったが、工程自体にはほとんど苦労を感じなかったとB氏は振り返る。結果的に、ネットワークを可視化できないことで攻撃者の侵入に気づけないという課題は無事に解決できた。早期のインシデントレスポンスが実現されただけでなく、従来は可視化できていなかったネットワークの全体像もキャッチできるようになり、ラテラルムーブメント把握と運用効率化にも大きく寄与しているという。
「顧客からもセキュリティの水準が高まったことについて評価をいただき、取引が活発化しました。これを受け、現在は国内のみの展開のところ、経営層では将来的な海外展開を視野に入れ、アジア太平洋地域への進出を検討開始したと聞いています」とB氏は語る。
NDRは単独でもネットワーク可視化に十分な効果を上げられるが、EDRと組み合わせるとセキュリティ性はさらに高まる。マクニカネットワークスでは顧客とディスカッションしながら、複数のポートフォリオから最適なソリューションを提案し、運用フェーズまでトータルに支援する体制を整えている。ネットワーク可視化でセキュリティを高めたいと考えている企業は、この機会にマクニカネットワークスに相談し「Vectra AI」の導入を検討してみてはいかがだろうか。
【無料DL_ホワイトペーパー】NDR(Network Detection and Response)とは何だろう?
「NDRとは一体何なのか」「EDRとどう違うのか」という疑問にお答えしつつ、近年高度化するサイバー脅威を踏まえながらご説明します。
>>詳しくはこちら
次世代ネットワーク型AIセキュリティ「NDR(Network Detection and Response)」
VectraAI製品ページ
>>詳しくはこちら
[PR]提供:マクニカネットワークス