特別連載:「標的型サイバー攻撃対策」新考 【第6回】わが社はDDIを日々のセキュリティ運用にこう組み込んだ ―サイバー攻撃の最新導入・運用事例に迫る!

CASE FILE-1:日本海事協会DDI導入で独自の監視プロセスを確立迅速かつ的確な脅威への対処を実現

User Profile
法人名:一般財団法人 日本海事協会
業種:サービス
従業員数:1,631名(2016年1月現在)
国内拠点数:23拠点(2016年1月現在) 

 日本海事協会は、海上における人命と財産の安全確保及び海洋環境の汚染防止のために全力を尽くす財団法人だ。公正な第三者機関として、設計図面の審査、建造中と就航後の船舶検査、材料、機器並びに艤装品の承認等、幅広くサービスを提供している。

 世界中の主要海事都市にサービス拠点を持ち、多様な情報を取り扱う同協会にとって、セキュリティ確保は必須の課題だ。とりわけ近年では、サイバー攻撃の悪質化、巧妙化によって、従来のパターンマッチングによる対策だけでは、脅威の侵入を100%防ぐのが困難になっている。そのため、防御をすり抜けて組織内に侵入してくる脅威をいかに早期に検知するかが懸案となっていた。

 協会では従来、サーバから収集できる通信の"生ログ"を分析、脅威の早期発見に努めていた。ただ、ログの分析には専門的な知識が必要なうえに、不審なものとそうでないものとの切り分けも難しい。ゆえに脅威の検知には多くの工数と時間が費やされていたという。

脅威の状況に応じた柔軟な対応が可能に


一般財団法人 日本海事協会
情報センター
新事業開発本部
情報技術部
主管
沖本 慎吉氏

 このような課題を解決するために、導入したのがトレンドマイクロの「Deep DiscoveryTM Inspector」(以下、DDI)だ。

 同協会はまずDDIの検証機を社内に設置し、トライアルを実施した。これにより、生ログの分析では対応し切れなかった潜在的な脅威の可視化までもが可能になることを確認、2012年にDDIの本格導入に踏み切った。

 DDIによるネットワーク可視化のメリットは大きく、運用開始後、潜伏する脅威を複数検知したほか、脅威の重大性に応じた適切で柔軟な対応が可能になったという。

 「最近、DDIによる可視化の効果を実感したのは、ランサムウェア(身代金請求型ウイルス)の検知です。DDIを通じて、社内の端末に対するランサムウェア感染を早期に見つけることができたほか、感染リスクのある他の端末をすぐに特定し、被害拡大を未然に食い止めることができました」と、日本海事協会 情報センター 新事業開発本部 情報技術部の主管、沖本 慎吉氏は振り返る。

トレンドマイクロとともに可視化の照準を定める

 日本海事協会におけるDDIの監視対象は国内23拠点、約1500台の端末に及ぶ(図1参照)。その監視を通じた脅威の検知から対処に至る運用は、情報技術部でネットワークインフラを担当する数人のスタッフが他業務と兼務するかたちで行っている。

 それらの担当者がDDIの運用で主に用いているのは、DDIの「ダッシュボード」と「すべての検出」という2つのコンソール画面だ。これらの画面を通じて、脅威の状況や脅威に影響を受けたホストの詳細などをすみかに把握、確認し、適切な対処につなげているという(図2参照)。

図2:日本海事協会によるDDI運用プロセスのイメージ 図2:日本海事協会によるDDI運用プロセスのイメージ
※クリックすると拡大画像が見られます

 もっとも、同協会にとって最適な運用プロセスがすぐに構築できたわけではない。DDIの導入直後から可視化の照準を調整するなどのチューニングを重ね、運用の改善に力を注いだという。


一般財団法人 日本海事協会
情報センター
新事業開発本部
情報技術部
鈴木 裕司氏

 「あらゆる脅威を把握し、対処しようとすると手が回らなくなりますし、一方で脅威を絞り込みすぎるとリスクの放置につながりかねません。ですから、可視化の照準をどう定めるかがDDI運用のカギと言え、その運用改善の作業を進めるうえで、トレンドマイクロの知見とノウハウは大いに役立ちました」(情報技術部 鈴木 裕司氏)。

 こうしてDDIの運用を軌道に乗せた現在、生ログを分析して対応していたころに比べ、はるかに少ない工数で、より安全な脅威の監視が実現されているという。

業務への影響を最小限に抑える


一般財団法人 日本海事協会
情報センター
新事業開発本部
情報技術部
菅谷 直貴氏

 一方、同協会は、脅威への対処が業務に及ぼす影響を可能な限り小さくすることにも力を注いでいる。

 「脅威を検知した時点で、端末にフォーマットをかけるのは簡単ですが、それでは業務が止まってしまいますし、重要な業務データも失われかねません。そのため、実害に発展するおそれがないと判断できる脅威については、端末のフォーマットまでは行わず、マルウェアの駆除などで対応しています。このような柔軟な対応が行えるのは、可視化ツールであるDDIだからこそです」と、情報技術部の菅谷 直貴氏は話す。

 また、DDIが可視化した脅威情報は、「これからどんなセキュリティ対策が必要か」を検討、決定するPDCAサイクルを回すうえでも有効な材料となっている。

 さらにDDIは、組織全体に対するセキュリティ啓蒙活動でも重要な役割を担っている。  現在、DDIの運用チームでは、DDIが検知した情報をもとにインシデントの発生日時や内容、対応結果などをExcelに落とし込み、週次でレポートサマリを作成、チーム内で共有している。また併せて、月次ベースでも集計表を作成し、こちらは部全体に共有している。そうした取り組みが組織全体の注意喚起とセキュリティ意識の向上に役立っているのである。

 今後、協会では、国内拠点で培ったDDI運用のノウハウを活かし、海外拠点へも監視範囲を拡大することを検討、グローバルな脅威監視体制の実現を目指す考えだ。

提供:トレンドマイクロ株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2016年12月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]