商船三井システムズがクラウドサービスのセキュリティ管理体制の強化に取り組んでいます。ランサムウェア攻撃や不正アクセスなどのセキュリティリスクの予兆を把握することを目指し、SIEM(Security Information and Event Management)ソリューション Microsoft Sentinel を導入。また、クラウドセキュリティ態勢管理(Cloud Security Posture Management: CSPM)やクラウドワークロード保護プラットフォーム(Cloud Workload Protection Platform: CWPP)構築の取り組みを推進するため Microsoft Defender for Cloud を導入しました。新たな取り組みを進める背景には、これまでのネットワークセキュリティを重視した対策や、アプリ開発者の「頑張り」に期待したセキュリティ対策に限界があったからだといいます。担当者に話を聞きました。

商船三井グループの情報システム部門として、サービス提供や新技術検証がミッション

「世界の海運をリードする強くしなやかな商船三井グループを情報システムの分野で支える」ことを使命に、1973 年の設立以来、商船三井とそのグループ企業の事業活動に貢献してきた商船三井システムズ。システムの開発・運用保守にとどまらず、「ユーザーと対話しながらビジネスそのものを理解し、共にビジネスのあるべき姿を考え、それを実現するシステムを構築すること」に注力しています。

商船三井グループは、グループ会社 500 社、グループ従業員 8547 名、グループ運航船舶規模 698 隻(いずれも連結、2022 年 3 月末現在)という規模で事業を展開する、日本を代表する海運企業です。商船三井システムズは、世界規模で事業を展開する商船三井グループの情報システム部門として、従業員 173 名(2022 年 3 月末現在)という陣容のもと、事業戦略実現のための ICT 戦略の構築と実践から、多様化し高度化するセキュリティに関わる脅威とリスクへの対処、グローバルに展開する商船三井グループ従業員の ICT リテラシーの向上などまでを一手に担っています。

主要なシステムとしては、外航海運・内航海運(フェリー)・船舶管理・陸運・物流(港湾/倉庫)などの業務を担うシステムがあり、これらをアーキテクチャチームやセキュリティチーム、クラウドチームなどが連携しながら管理しています。商船三井システムズ 技術統括部 アーキテクチャチーム 兼 クラウドチーム チーフエンタープライズシステムアーキテクトの安宅 恭子 氏は、システムアーキテクチャやクラウド活用の方針と近年の動向について、こう話します。

  • 商船三井システムズ株式会社 技術統括部 アーキテクチャチーム 兼 クラウドチーム チーフエンタープライズシステムアーキテクト 安宅 恭子 氏

    商船三井システムズ株式会社 技術統括部 アーキテクチャチーム 兼 クラウドチーム チーフエンタープライズシステムアーキテクト 安宅 恭子 氏

「それぞれのシステムの特性にあわせて、さまざまなクラウド環境でパートナー企業やソリューションの強みを生かしてシステムの開発・運用保守を行っています。システム環境が多様になると、従来のガイドラインやルールではカバーしきれない領域が出てきます。商船三井システムズでも、クラウドの活用が進んでいくなかで、従来のネットワークセキュリティのアプローチでは対応が難しいシーンが増えてきました。そこで取り組みはじめたのが、クラウドサービスにおけるセキュリティの強化です。具体的には、MSP ベンダーを介さずに自社で開発、運用している 12 のシステムについて、クラウドサービス利用時の設定不備をモニタリングすることや、どのようなサイバー脅威がリスクになっているかを開発段階から把握するための仕組みづくりです」(安宅 氏)。

商船三井システムズが、クラウドセキュリティの強化のために採用したのが Microsoft Sentinel(以下、Sentinel)と Microsoft Defender for Cloud(旧Microsoft Azure Security Center。以下、Defender for Cloud)でした。

アプリ開発者としてクラウドのセキュリティをどう担保していくかを懸念

近年、クラウドサービスの設定不備やミスから情報漏えいが起こったり、開発するアプリケーションやミドルウェアに潜む脆弱性を見つけられないことがサイバー攻撃を招いたりするケースが増加しています。そこで従来のようにマルウェアの検知やブロックといった直接的なサイバー攻撃対策だけでなく、情報漏えいを引き起こす設定不備やミスを見つけたり、開発段階で脆弱性スキャンなどを行ってセキュリティリスクを把握、事前対処する仕組みが重要になってきました。

こうした仕組みは、クラウドセキュリティ態勢管理(Cloud Security Posture Management: CSPM)やクラウドワークロード保護プラットフォーム(Cloud Workload Protection Platform: CWPP)などと呼ばれます。商船三井システムズが Sentinel や Defender for Cloud を使って進めているのも同様の取り組みです。安宅 氏は、取り組みのきっかけをこう説明します。

「技術統括部 アーキテクチャチームに所属する以前は、アプリ開発者としてアプリケーションの開発に携わってきました。クラウドサービスを利用する際に設定ミスや不備が起こるリスクもアプリ開発者として把握はしていたのですが、そのセキュリティチェックをどのチームが担当するかがはっきりと決まっていませんでした。アプリ開発チームは、セキュリティよりも自分たちが実装する機能に注力しがちですし、セキュリティチームは従来からのネットワークセキュリティを重視します。本番稼働後にセキュリティ設定が十分ではないことに気づくケースもありました。アプリ開発者がセキュリティを自分で勉強して頑張ってなんとかしていた面も多くありました」(安宅 氏)。

商船三井システムズでは、以前から Microsoft SQL Server や IIS、Microsoft Visual Studio などマイクロソフト製品を活用したアプリ開発を進めてきました。MSP ベンダーを介さないクラウド利用に関しては 2018 年にはじめて Microsoft Azure(以下、Azure)上で Azure SQL Database を活用したアプリを作ります。その後、監視ツール Azure Monitor を使った運用監視の仕組みなどを内製化し、運用費を削減しながらニーズに素早く対応できる体制を整備してきました。また、Azure Web Apps やサーバレスの Azure Functions、コンテナサービスなどの PaaS の活用も進めてきました。

「そうした関係性があったため、クラウドセキュリティを今後どうしていくべきかについて、マイクロソフトさんに相談したのです。担当者間で議論を重ね、まずは内製化していたアプリ開発や運用に関する業務について、セキュリティリスクを把握できるようにし、その知見やノウハウを蓄積して全社的に共有するための仕組みをつくることを決めました」(安宅 氏)。

ランサムウェア対策の一環で SIEM プラットフォーム「Sentinel」を導入

まず取り組んだのは、Sentinel の導入です。導入にあたっての問題意識は「セキュリティに関してアプリ開発者の手が回りにくく、セキュリティチームも見つけにくいような危険が潜んでいるところをアーキテクチャチームがサポートする」ことにありました。特に、ランサムウェア対策として侵入する脅威の予兆を見つけることが大きな狙いでした。アーキテクチャチーム チームリーダーの柿沼 悦子 氏はこう話します。

  • 商船三井システムズ株式会社 技術統括部アーキテクチャチーム チームリーダー 柿沼 悦子 氏

    商船三井システムズ株式会社 技術統括部アーキテクチャチーム チームリーダー 柿沼 悦子 氏

「アーキテクチャチームは、システムアーキテクチャの策定を中心に、標準化ガイドラインやルールの策定など、全社的な視点での取り組みを推進するチームです。クラウドなどの新しい技術を導入する際の技術検証を率先して進める役割も担っています。マイクロソフト製品については、2011 年に Microsoft 365(当時は Office 365)の Exchange Online を導入し、その後、Microsoft SharePoint や Microsoft Teams の活用、Azure の各種 PaaS サービスの導入を進めてきました。また、ユーザーの認証やアプリケーションの認証のために Azure Active Directory(以下、Azure AD)の導入も進めました。Sentinel は、こうした取り組みの延長線上にあるものです。クラウドの活用が拡大するなかで、さまざまな製品が生成するログを収集・分析して、不審な行為を検出したり、ランサムウェアを中心としたサイバー攻撃や不正アクセスなどのセキュリティリスクを事前に把握することを目指しました」(柿沼 氏)。

Microsoft 365 や Azure AD、Azure の PaaS を利用すると、ユーザーのアクティビティログや監査ログを取得することができます。ただ、ログの保存場所はサービスごとに分かれていて管理がしにくく、また保存期限も決まっているため、長期的にログを保存し分析するためにはログを別の手段で蓄積しておく必要もありました。

「アクティビティログや監査ログを蓄積するプラットフォームとして Sentinel に注目しました。Sentinel の PoC を行って Azure AD などのログを分析してみると、Microsoft 365 にサインインを試みる不正アクセスなどが多く発生するなど危険な兆候が見られました。こうした兆候を捉えておけば、ユーザーや管理者の権限を奪うランサムウェア対策としても有効です。そこでセキュリティアラートを把握・分析するセキュリティ情報イベント管理(Security Information and Event Management: SIEM)プラットフォームとして Sentinel を採用することを決めたのです」(柿沼 氏)。

Sentinel の PoC は 2021 年 11 月から開始しました。長期的な利用を見据えて Azure AD Privileged Identity Management(PIM)も導入し、特権 ID も管理できるようにしました。

  • Microsoft Sentinel のシステム構成図

    Microsoft Sentinel のシステム構成図

Defender for Cloud のセキュリティスコアと推奨事項をもとに対策を実施

次に取り組んだのが、Defender for Cloud の導入です。安宅 氏は、旧 Azure Security Center の時代から、Defender for Cloud が提供する、セキュリティ態勢をスコア化する機能や脅威を防ぐための推奨策を提案する機能に興味を持っていたといいます。

「開発者としてセキュリティリスクに懸念を持っていたので、もう少し前に導入したいという思いはありましたが、タイミングがあいませんでした。Azure 環境の管理強化を進めたタイミングで Defender for Cloud を採用し、セキュリティ設定の正しさを確認したり、システム別のセキュリティスコアを可視化したりすることを目指したのです。導入は 2022 年 7 月から開始し、同年 11 月末までに終えることができました」(安宅 氏)。

Defender for Cloud は大きく「セキュリティ態勢の継続的な評価」「推奨事項の提案によるワークロードの保護」「アラートによる脅威のリアルタイムでの防御」という機能を提供します。セキュリティ態勢の継続的な評価では、資産インベントリの表示や脆弱性の評価、ファイルの整合性監視などを行い、セキュリティスコアを提示します。また、推奨事項の提案とワークロードの保護では、セキュリティスコアに対してどのような対応策をとればよいかを提案します。アラートによる脅威のリアルタイムでの防御では、例えば、アカウントに対する不正アクセスが行われたときなどに、リアルタイムでアラートを発出します。

Defender for Cloud と Sentinel を連携させて高度な分析を行うこともできます。データやログの連携も用意されたコネクタを使いながらクリックしていくだけで連携できるため、設定しやすかったといいます。

「Defender for Cloud はポータル画面上にセキュリティスコアが表示され、自社のセキュリティ態勢がどのような状況にあるか一目でわかることが大きな魅力です。運用としては、Defender for Cloud が検知した脅威情報をメール配信の機能を使って担当者に自動配信しています。また、セキュリティスコアで、重大度『高』とランクされたものについては、Sentinelと 連携しています。Sentinelではワークフローサービスの Azure Logic Apps を使って、関連する部署の担当者にメールを自動配信しています。アプリ開発チーム、セキュティチーム、クラウドチーム、アーキテクチャチームなどが連携してインシデントに対応することで、セキュリティリスクをすばやく発見し、対処できるようになりました」(安宅 氏)。

  • Microsoft Defender for Cloud のシステム構成図

    Microsoft Defender for Cloud のシステム構成図

  • 管理画面のサンプル

    管理画面のサンプル

セキュリティスコアをわかりやすく可視化、態勢の見直しと高度化を推進

Sentinel と Defender for Cloud を導入したことで、既存のネットワークセキュリティの仕組みや開発者の頑張りだけではカバーできなかったセキュリティリスクを発見し、素早く対応できる体制を築くことができました。本格的な運用は 2022 年 7 月からですが、PoC から本番環境の稼働開始までにさまざまな効果を確認しています。

まず Sentinel については、ランサムウェア対策の一環として不正ログインの予兆を検知するための SIEM 環境を素早く手軽に構築できたことが大きいといいます。

「Azure のポータルサイトからクリックしていくだけで設定を済ませることができました。従量課金で利用できるので、一般的な SIEM 製品のようにシステム構築に多大なコストがかかることがありません。マイクロソフト製品との親和性も高く、組み込みのコネクタを使用して、Azure サービスと数クリックするだけで連携できます。アクティビティログや監査ログを収集する基盤として小さくスタートし、規模に応じて利用を拡大していくことができます。これから Azure 上で稼働しているシステムの監査運用を本格化させていくつもりです」(柿沼 氏)。

一方、Defender for Cloud については、開発や運用の内製化を進める際に必要となるセキュリティ運用のサポートとして大きな役割を果たしているといいます。

「内製することでセキュリティをきちんと担保できているかどうか、自分たちで判断しにくくなります。そのチェックのために優れたソリューションを利用することは良い選択肢です。ソリューションを活用することで、自分たちで見逃してしまうリスクを的確に見つけることができ、開発するサービスの安全性や信頼性を高めることができます」(柿沼 氏)。

実際、Defender for Cloud は、ポータル画面上で、セキュリティスコアをわかりやすく可視化してくれるため、セキュリティ態勢の見直しと高度化につながっています。

「セキュリティスコアはサブスクリプションごとに算出されますが、導入時に 60 %台だったスコアを 90 %台にまで向上させたサブスクリプションもあります。各チームと連携して、推奨案に沿った対策を講じたためです。定期的にスコアを確認し、優先順位をつけて対策を行なうことで、着実にセキュリティ態勢を強化することができるという実感があります。また、チームの担当者それぞれが同じスコアを見て対策するので、アプリ開発者やセキュリティエンジニアのセキュリティ意識向上にもつながっています」(安宅 氏)。

クラウドセキュリティの考え方が組織に根付くよう普及に努めていく

今後は、Defender for Cloud が提案する推奨事項の設定のうち、業務やシステム、タイミングの関係で実施できていなかったものに取り組み、100 %に近づけていくことを目指すといいます。それに向けて、定期的にスコアを確認し、Microsoft Teams を使って担当者と実施方法を確認しあっています。また、Sentinel と Defender for Cloud とで連携しているデータをより高度に分析したり、連携できていないデータやログを Sentinel に統合しつつ、サイバー脅威に対応し、インシデントの抑制につなげていきます。安宅 氏は、クラウドセキュリティの取り組みについて、こう話します。

「会社全体の方針として、ランサムウェアを中心としたサイバー攻撃への対策の強化があり、Sentinel や Azure AD PIM 導入はその一環として取り組んだものでした。一方で、以前から懸念していたアプリ開発におけるクラウドセキュリティをどう担保していくかという課題を解決してくれたのが、Defender for Cloud でした。これらは本来、セキュリティ対策としては別々の取り組みだったのですが、結果的にクラウドセキュリティを統合的に管理できる仕組みにつながりました。マイクロソフトの製品として親和性が高く、連携しやすいことが大きなポイントだったと思っています」(安宅 氏)。

こうしたセキュリティの取り組みは、商船三井システムズが提供するサービスや組織のあり方にもかかわってきます。柿沼 氏は、今後の取り組みについてこう展望します。

「われわれのミッションは、新しい技術やサービスを利用することで得た知見やノウハウをグループ会社や本社向けの環境構築や運用に展開していくことです。Sentinel や Defender for Cloud の展開で得た知見やノウハウも商船三井グループとして役立てていきます。内製化するためには知見やノウハウの蓄積と定着が非常に重要です。導入して終わりではなく、クラウドセキュリティの考え方や対応の仕方が組織に根付くよう普及に努めていきます」(柿沼 氏)。

商船三井システムズのクラウドセキュリティの取り組みをマイクロソフトは継続的にサポートしていきます。

[PR]提供:日本マイクロソフト