東日本旅客鉄道(JR東日本)グループの情報システム会社のJR東日本情報システム(JEIS)がEDR(エンドポイント型脅威検知・対応)ツールをグループ各社の6万台の端末(エンドポイント)に導入し、各社に対して新たに「JR東日本エンドポイントセキュリティサービス」の提供を開始する。EDR製品メーカーのクラウドストライクと製品導入を支援したマクニカが発表した。
JEISは、JR東日本グループで「Suica・駅サービスソリューション」や鉄道事業ソリューションなどを提供している。従来はグループ各社で個別にエンドポイントのセキュリティ対策を実施していたが、グループ統一のセキュリティ対策を構築すべく、JEISがグループ向けの新サービスを提供することになったという。
クラウドストライクとマクニカによれば、EDRの運用作業をJEISとグループ各社で適切に分担する必要があったという。このため、クラウドストライク製品の機能「Falcon Flight Control」で設定に関する権限の割り当てを柔軟に管理するマルチテナント管理で、各テナントのログを効率的に確認できる点と、JEISが要件とした端末制御などの機能が広く網羅されていたこと、SIEM(セキュリティ情報・イベント管理)やITMS(ITサービス管理)とのデータ連携および転送オプションが豊富だったことを理由に、クラウドストライクが採用されたとしている。
製品導入後は、資産情報や脆弱性情報が一元化されて、運用関連の人的リソースの負荷が大幅に削減されたほか、これまで把握できなかった端末の挙動が可視化されて、不審な挙動を検知した際の原因特定のプロセスが明確になり、資産管理機能で操作ログを詳細に分析するまでに問題の切り分けをスムーズにできるなどの効果が得られたという。
JEISは、今後JR東日本グループ各社(最大100社)に新サービスを順次展開し、端末で不審な挙動を検知した場合の「リアルタイムレスポンス(遠隔操作)」による迅速なフォレンジック調査の実施など、エンドポイントセキュリティ対策の運用を高度化して、迅速で柔軟なサイバーセキュリティへの脅威対応を実現していくとする。
EDR導入前後の変化のイメージ(出典:マクニカ)