オンラインゲーム、動画配信から英会話、FX/仮想通貨、通信販売、さらには水族館、農業、エネルギーまで多彩なサービスを展開するDMM.com。同社はエンドポイントセキュリティ強化を目的に、それまで導入していたアンチウイルス製品をCrowdStrikeのEDRに置き換え、さらにIT資産の監視サービスも導入するプロジェクトを実施した。同社におけるセキュリティ部のキーパーソンに、一連の取り組みについて伺った。

“怪しいWebサイト”を安全に調査するために

DMM.comでは、ゲーム開発やアフィリエイトサービスに関わる従業員が業務でWebサイトの調査を行う機会が多い。当然、そこには“怪しい”サイトも存在する。それだけに、従業員が多様なWebサイトへ安全にアクセスできるようなセキュリティ対策は、事業継続の観点からきわめて重要だ。 この大切なミッションを担い、DMMグループ全体のセキュリティ状態の監視やインシデント対応を行っているのがセキュリティ部である。同部SOC/IRチームでセキュリティ製品の選定に携わる安詮院康広氏は、同社ならではの方針をこう解説する。

合同会社DMM.com セキュリティ部 SOC/IRチーム 安詮院 康広 氏

合同会社DMM.com
セキュリティ部 SOC/IRチーム
安詮院 康広 氏

「業務上、どうしても危険なサイトに立ち入ってしまう可能性があるので、従業員の業務端末をしっかり守るエンドポイントセキュリティが重要です。それと同時に、当社のような業態ではスピード感も求められるので、セキュリティ対策は安全・安心を担保しつつ業務スピードを阻害しないことを心がけています」

同社では以前、いわゆるシグネチャベースのアンチウイルスソフトを導入していたが、サイバー攻撃の脅威が高度化する中で新たな脅威に十分に対応できない懸念が生じ、エンドポイントセキュリティの強化に向けて舵を切っていった。 「以前のアンチウイルスソフトは非常に重く、端末に負担をかけるため、従業員の作業に影響が出てしまう問題もありました。その点でも、軽量でスピーディーに動作するEDRは魅力的でした」

そこで同社は2019年、グループ全体に新たなエンドポイントセキュリティプラットフォームを導入した。同社が選んだ製品が、EDRに次世代型アンチウイルスやファイアウォール管理、デバイス制御、脅威ハンティングなどの機能も備えた「CrowdStrike Falcon」(以下、Falcon)だ。選定の理由について安詮院氏は次のように語る。 「運用負荷が少ないという点が、最も大きなポイントでした。以前のアンチウイルスソフトは動作が重いことに加えて、各端末のエージェントを日々アップデートしなければならず、その間は業務が止まってしまうのも問題でした。その点、Falconは管理が簡単でアップデートの負荷も非常に少なく、業務を止めずに運用することができました」

他の製品とも比較検証を行ったが、この実運用の点でアップデートを意識させない部分でもFalconが最も優れていたと振り返る。さらには、製品自体に“勢いがある”ところも評価材料になったという。 「クラウドサービスは機能が頻繁に追加されるのも魅力。いまノッている、生きているサービスだからこそ、有効な機能が次々に追加されるというアドバンテージにも着目しました」

24時間/365日監視運用を専門家にアウトソース

実は同社ではFalconの全社展開と同じタイミングで、EDRの監視・分析・報告をセキュリティ運用のスペシャリストが代行する「CrowdStrike監視運用支援サービス」も導入している。その背景について、安詮院氏は次のように説明する。 「EDRの導入に際して感じていたのが、こういった製品は導入すれば終わりではなく、監視もしっかり行っていかなければならないということです。では具体的にどう監視していけばいいのか。安全性を担保するには24時間/365日の監視が必須です。それをセキュリティ部のリソースだけで回していくのは現実的に考えて無理があるので、やはり外部の専門家にお願いするのがベストだということになりました。Falconの設定や運用に詳しい人が見てくれるほうが安心だという思いもありましたね」

CrowdStrike Falconとその監視サービス。この両ソリューションを、同社はマクニカを通じて導入した。なぜ同社はベンダーとしてマクニカを選んだのか。安詮院氏のコメントがその理由を的確に教えてくれる。 「インシデントは私たちの業務時間内にのみ起きるわけではありません。24時間/365日の監視サービスで、深夜に脅威の兆候をキャッチすることもあるでしょう。そのとき私たちとしては、電話で連絡がほしいという思いが強かったのです。連絡はメールやソフトの通知機能で行うベンダーが多いのですが、業務後の時間はメールを確認しないことが多いですし、通知がポップアップされてもすぐには反応できない可能性があります。重大なインシデントが発生した時、連絡してくれるだけでなく、こちらがきちんと受け取れる体制を取ってくれることが重要でした」

この要望にマクニカが真摯に対応したことが、ベンダー選定の有力な決め手になった。そして2020年夏、同社はマクニカを通じて、また新たなソリューションを導入する。複数のセキュリティ製品やインフラを監視し、インシデントへの対応を支援する「統合SOCサービス」だ。 Falconと監視サービスの導入後、安詮院氏はセキュリティに関して部門間の連携に悩んでいたという。同社でファイアウォールやVPNを運用しているのは情報システム部で、それらの監視は別ベンダーが担っていた。その状況でFalconの運用を続ける中、Falconが示すアラートについて情報システム部とセキュリティ部での見解や対応方法の整合性が合わない事態が発生することがあった。アラートに対する意見の齟齬も生まれていたため、安詮院氏は解決策を模索した。 セキュリティに関して重要な役割を担う両部門の意見が割れていると、インシデント対応にも支障が生じる。そこで安詮院氏は、ファイアウォールなどの機器の運用とセキュリティ観点での分析を切り分け、セキュリティ観点での分析についてはセキュリティ部に集約することを提案。一つの監視サービスへの統合に加え、もともとセキュリティ対策に相関分析を活かしたいとの思いもあったことから、統合SOCサービスの導入を決断した。

プロの仕事で安心感の醸成と負荷軽減を実現

この頃はコロナ禍の影響でリモートワークが多くなり、世の中でゼロトラストネットワークへの関心が高まっていたところで、同社でもさまざまな仕組みが大きく変わり始めた時期だった。仕組みが変わるということは、利用するハードやソフト、サービスも変わるということだ。ところが、安詮院氏が各社のSOCサービスを調べていると、たとえばファイアウォールは特定のバージョンまで対応する、あるいはこの製品やサービスには対応しない、といったものが多く見られたという。 「当社はスピードと柔軟性を重視するため、そもそもさまざまな取り組みがスモールスタートで、必要に応じて機能追加や規模拡大を行っていく傾向があります。もし、ある部署が何らかの製品やサービスを導入したいとなったとき、SOCで監視できないので無理ですと断ることになったり、ある製品やサービスをセキュリティ強化のためバージョンアップしたいとなったとき、SOCが対応しないのでバージョンアップできませんということになったりしたら、まさに本末転倒です」

その点、マクニカは機器やサービスの入れ替わりに際してあらゆるログに対応すると確約したことから、安詮院氏も安心して任せられたという。 CrowdStrikeのFalconと監視サービス、さらに統合SOCサービスも導入したことで、脅威の発見と対応が速くなったほかにも、さまざまな成果が出ているという。 「怪しいサイトを訪問する前の段階でSOCに相談すれば、SOCサービスを提供するS&J社のスタッフが親身に、かつ短時間で回答してくれるため、専門家の裏付けで高い安心感を持って業務に臨めるようになりました。とにかくどんなことでも気軽に相談できますし、いつも丁寧に教えてくれるので、本当に感謝しています」

また、前述のように、サイバー攻撃で真に危険な事態が発生する可能性がある場合は電話で連絡がくるという安心感に加え、新たなウイルスが発見されたときなどはチェック項目をアドバイスしてくれる、分析結果を基に次のアクションを明確に指示してくれる、といった手厚いフォローもあり、セキュリティ部としては業務の負荷だけでなく精神的な負荷も軽減したことを実感しているという。一方、情報システム部でもセキュリティ部分を切り分けてプロフェッショナルに任せたことで、他の重要な業務にリソースを割けるようになったとのことだ。

同社ではこれからもSOCの監視対象機器やサービスを増やしていく考えだ。安詮院氏は最後に「今後はゼロトラストの考え方も導入し、セキュリティのさらなる強化を目指していきます。それにあたり、高い技術力だけでなく、親身なコミュニケーションで向き合ってくれるマクニカのサポートはとても心強いですね」と語ってくれた。

  • 合同会社DMM.com セキュリティ部 SOC/IRチーム 安詮院 康広 氏

▼製品の詳細はこちら▼
・CrowdStrike Falcon
https://www.macnica.co.jp/business/security/manufacturers/crowdstrike/

・CrowdStrike監視運用支援サービス
https://www.macnica.co.jp/business/security/manufacturers/sandj/crowdstrike.html

・統合SOCサービス
https://www.macnica.co.jp/business/security/manufacturers/sandj/csirt_soc.html

[PR]提供:マクニカ