横河電機は、同社グループ内で開発したセキュリティ監視センター「Yokogawa Security Operation Center(Y-SOC)」の運用基盤として ServiceNowの「Security Operations」と「IT Operations Management」を導入した。ServiceNow Japanが11月9日に発表した。
また既存で活用しているServiceNowの「IT Service Management」とも連携することによりIT部門とY-SOCとのスムーズな連携も実現させている。
Security Operationsはコンテキストと人工知能(AI)でSOAR(セキュリティのオーケストレーション、自動化、応答)を強化し、スマートワークフローを構築することで、リスクベースの脆弱性管理で脅威や脆弱性の問題を解決する。インフラストラクチャーとアプリケーション全体にリスクベースの脆弱性管理を適用し、ビジネスへの潜在的な影響度に基づいて優先順位付けと軽減を実施する。
IT Operations Managementは、インサイトと自動化によって事後対処型のIT運用から脱却し、チーム横断型の自動化ワークフローで例外を特定する。これにより問題が発生する前に解決できる。また誤検出の確認に追われることなく、推測に頼らず例外を特定し、提示された推奨事項に基づいて対策を講じることで、機能停止の発生を削減する。
横河電機では、対象となるIT資産情報の統合的な管理、そして不正アクセスの自動検知を行った後、セキュリティインシデント対応を効率よく対処するために、より確立したワークフローを必要としており、今回の採用に至った。
2020年1月からIT Operations Managementの導入を開始し、グループ内で導入しているサーバーやルーターなど約3万デバイスのIT資産を可視化した。同時に新しい脆弱性情報が公開されたときに、それが同社が導入しているシステムに影響するものなのかどうかをタイムリーに抽出することも可能となった。
さらに、Y-SOCの各種ツールと連携したことで、自動的にセキュリティインシデントが起きた際にCMDB(構成管理データベース)の参照と優先順位付けができるようになり、セキュリティインシデント対応時間の短縮とその対応作業を30%効率化できたことが報告されている。
2021年4月からSecurity Operationsの導入を開始し、セキュリティインシデント対応と脆弱性対応の2つのワークフローを確立した。これにより、セキュリティ分析から封じ込め、根絶、復旧、レビューまでをシームレスに実行することができるようになった。
具体的には、Y-SOCなどからアラート通知がリアルタイムでプッシュされると、Security Operationsが複数のサイバー脅威インテリジェンスの情報を統合的に参照する。脅威度が高いものに対しては、IPアドレスやURL、ドメイン名などで自動防御の仕組みを作り、セキュリティ製品に対し通信をブロックすることを自動化した。これにより、従来は脅威が生じてブロックをかけるまでに1〜3週間かかっていたが、ワークフローができてからは1分前後に短縮することができた。
脆弱性対応のワークフローでは、脆弱性スキャナの情報などをSecurity Operationsに取り込み、CMDBを参照しながら対象となるシステムに脆弱性があるかどうか、またリスク評価に基づいて優先順位付けし、それに応じた対応をCSIRT(Computer Security Incident Response Team)に割り当てることも可能となっている。
