SBSホールディングス株式会社
グループITインフラ統括部
ITインフラ統括課長
宮崎健氏
SBSホールディングス株式会社
グループITインフラ統括部
ITインフラ統括課 プロフェッショナル
江守英昭氏
SentinelOne Japan株式会社
執行役社長
伊藤俊明氏
SentinelOne Japan株式会社
技術統括
富田隆一氏
総合物流企業グループを統括するSBSホールディングスは、グループ全体のセキュリティ強化を目的として、2020年にEPPとEDRの機能を兼ね備えた「SentinelOne」の導入を開始した。あれから4年、コロナ禍前後で在宅勤務も増え、リモートワークを前提とした強固なネットワークおよびエンドポイントセキュリティの確立を目指した同社にとって、SentinelOneはエンドポイント側の“柱”となっている。M&A戦略で組織と事業を拡大してきた同グループでは、SentinelOneにどのような効果を感じてきたのか。日本を代表する物流事業者のセキュリティ戦略において、SentinelOneはどのような価値を提供しているのか。SBSホールディングスでプロジェクトをリードするグループITインフラ統括部 ITインフラ統括課長の宮崎健氏とITインフラ統括課 プロフェッショナルの江守英昭氏、SentinelOne Japan 執行役社長を務める伊藤俊明氏と技術統括の富田隆一氏の座談から、将来に向けたセキュリティ強化のヒントを得ていただきたい。
SBSグループの成長戦略にマッチするセキュリティソリューション
伊藤氏SBSホールディングスの近年のセキュリティ戦略について教えてください。
宮崎氏SBSホールディングスと当グループは、生産物流、消費物流、静脈物流など、顧客のサプライチェーン全体をカバーして多様なニーズに応える総合物流事業者です。積極的なM&Aによって組織拡大を図り、Third Party Logistics(3PL)領域で包括的なサービスを提供することを目指しています。グループ各社の事業を支えるITを統括し、利便性・効率性の向上を図るのが私たちグループITインフラ統括部の使命です。
2020年ごろは、リコーロジスティクスや東芝ロジスティクスがグループに参画したばかりで、当初は異なるネットワークで事業を運営していました。また働き方改革や新型コロナウイルス感染症の蔓延で、当社でも在宅勤務が広まっていたころで、リモートワークを前提としたIT環境の改革が求められていました。使いやすい環境を提供するとともに、より強固なセキュリティ対策の実装が必要とされました。
そこでゼロトラストセキュリティの考え方を基に、ネットワークセキュリティとエンドポイントセキュリティの抜本的な改革に乗り出したのです。私たちは、従来のような境界防御型のイントラネットに依存しない仕組みで、どこでも安全に安定的に利用できることを目指しました。また当社のM&A戦略にマッチするように、新しい組織にもできるだけ早く提供できる仕組みであることも重視しました。
伊藤氏具体的にはどのようなエンドポイントセキュリティが必要だったのでしょうか。
江守氏SBSホールディングスは、2017年に大規模なランサムウェア攻撃を経験しています。そのとき導入していたパターンマッチング型のEPP(Endpoint Protection Platform)技術だけでは防御が十分ではないことを学び、より強力なEDR(Endpoint Detection and Response)技術が必要と考えました。
技術を研究する中で、高度化する脅威に対抗するにはAIのような先進技術を応用した運用自動化も欠かせないと判断し、いくつかのソリューションをテストしました。そこで改めて実感したのは運用の簡素化も必要であり、高度な知識がなくとも状況を判断できる機能を有しているということです。
「SentinelOne」は、EDRとEPPの双方の機能を兼ね備えたセキュリティソリューションであり、総合力の高さが目立ちました。復旧(ロールバック)機能も実装されており、有事の際にも迅速にビジネスを再開できるという点も魅力的でした。自動化機能に優れており、管理コンソールが直感的で運用しやすいと感じました。ライセンスが比較的安価というのも重要ですね。複数の組織を束ねて運用を統合できるマルチテナント(グルーピング)機能も、当社のビジネス戦略にマッチしていました。
当社の経営層は、セキュリティインシデントの実害が非常に大きくなり、エンドポイントを確実に守るための投資が重要であることを正しく理解しています。SentinelOneはその中核として、この4年、当グループの成長戦略とエンドポイントを強固に守ってくれています。
グループ個社を保護するマルチテナント機能と手厚いSOCサービス
伊藤氏セキュリティは、有事のトリアージ(治療・復旧の優先順位付け)が非常に難しい領域です。セキュリティプロフェッショナルでないと判断しにくいと思われます。SentinelOneのパートナーである東京エレクトロンデバイスでは、2019年からEPP/EDRに注力したSOCサービスを提供しています。SBSホールディングスでも活用していただいています。
江守氏以前のEPPは、月に数回のアラートが発せられており、そのたびに現地に駆け付け、該当端末をイントラから外し、ログツールで調査、クリーニングするかの判断をするなど、1回あたり1~2時間、場合によっては半日かかることもありました。月に換算すると、10~20時間はそのために時間を使っていたと思います。
さらに私たちは複数の組織を束ねる立場のため、個社で利用している複数のツール(ログツールなど)を利用し、アラートのたびに個別対応しなければなりませんでした。非常に大きな負荷を感じていました。
SentinelOneを導入してからは、アラートがあがったら、自動隔離をするなど、工数を大幅に削減できました。導入から5年近く、定期的に検知レポートは受け取っていますが、いずれもインシデントにつながるようなものではなく、ほとんど手放しで運用できています。
伊藤氏SBSホールディングスのグループには、積極的に海外展開している組織もありますね。SentinelOneはどのように運用されているのでしょうか。
宮崎氏2020年にジョインしたSBS東芝ロジスティクスは、特に海外拠点の多い組織です。24時間365日での対応を求められたため、「SentinelOne Vigilance Management Detection & Response」を活用し、現地法人へ直接的にサポートできる体制をとりました。レポートは国内のSOCサービスで取りまとめてくれるため、私たちの管理負担が増大したということもありません。
富田氏SentinelOneは、早い段階からマルチテナントに注目して開発してきたソリューションです。ロールベースで委任状態を細かく設定することが可能ですから、それが個社によってニーズが異なるSBSグループの環境にマッチしたのではないでしょうか。管理者の運用ログも監視・記録していますので、監査にも応用できます。
宮崎氏当グループは主要企業だけで十数社あり、ビジネス上、セキュリティ対策にナーバスにならざるを得ない組織もあります。そのため、私たちホールディングスの管理は受け入れるけれども、個社どうしで情報を公開することは避けたいという要望があるのです。さまざまなセキュリティ製品を検討した中で、細かにグルーピングできるマルチテナント機能をもっていたのは、SentinelOneだけでした。
伊藤氏SentinelOneのSingularity Network Discoveryにも注目されていると聞いています。
宮崎氏特に海外は、独自に運用しているローカルネットワークを持つ小さな拠点も多いのです。適切に管理できない“野良デバイス”が接続される恐れがあります。Singularity Network Discoveryを活用すれば、ネットワーク内のデバイスを発見し、状況を把握することができます。
江守氏SentinelOneは、資産管理の仕組みとしても有効です。セキュリティ運用はSOCサービスに任せていますが、通常の資産管理業務のツールとして、SentinelOneを利用するシーンがよくあります。UIがシンプルで扱いやすいので、日々の運用業務で活躍しています。
安定的な稼働で安全を維持、先進技術を活用して将来に備える
伊藤氏導入から4年、SentinelOneをどのように評価していますか。
宮崎氏恐るべきセキュリティ脅威の1つとして、Emotetが注目されたことが記憶に新しいですね。SentinelOneにより、高度な脅威であるEmotetをしっかり検知、防御できていたので、SentinelOneの導入効果の高さを実感しました。
また最近では、あるセキュリティツールの自動アップデートで、ブルースクリーンになる世界的な障害が発生しました。そこで気づいたのは、セキュリティ製品のアップデートの不具合が発生すると、システムが停止し、ランサムウェアと同じくらいのインパクトがあるということ、そしてアップデートは慎重に行わなければならないということです。SentinelOneは、ユーザーがアップデートする、しないを選択できる点や、確実に動くことを確認してから、配信する体制になっているところはとても安心できます。
富田氏そもそもSentinelOneは、カーネル コンポーネントを変更するようなアップデートを自動配信しない作りになっています。アップデート自体も、まず当社内で安定性を確認したのち、一部のユーザーで実施され、最後にすべてのユーザーへ適用されるというプロセスを採用しています。選択式にしているのはご存じのとおりで、SOCサービスに作業を委任することも可能です。また重要な点として、アップデート内容を適切に公開していることも挙げられます。
伊藤氏今後、SBSホールディングスはどのようなセキュリティ戦略を採っていく計画ですか。
宮崎氏現在も著名な企業がランサムウェア攻撃に遭っています。最新のランサムウェアは、セキュリティシステムすら攻撃対象にし、復旧させないことを目論んだ作りになっています。
またサイバー攻撃者は、生成AIのような先端技術も積極的に活用しており、もはや人間の努力、社員の教育だけでは守れる状況にありません。高度な保護システムが必要で、ユーザー1社で対応できないのが現状です。倒産のリスクすらあることを経営者は理解しつつあります。
私たちは今後、ビジネスの復旧を中心としたセキュリティ強化、さらなるバックアップ環境の強化を図っていきたいと考えています。またネットワークに依存しないゼロトラストの仕組みをさらに推進し、リスクを可視化することも重要だと考えています。無尽蔵の予算があるわけではないので、最適なセキュリティ投資を図るための仕組み、リスクの数値化を目指したいと考えています。
セキュリティ対策は本当に難しく、正解がわかりにくい取り組みです。一企業の取り組みには限界がありますので、さまざまなプロフェッショナルの力を借りながら、最適化に努めていきたいと考えています。
伊藤氏当社では、今後もさまざまなセキュリティコンポーネントを開発し、従来どおりSentinelOneのプラットフォーム上で提供する計画です。AI技術や機械学習技術を活用し、自動化をさらに推進し、ヒューマンエラーを軽減し、インシデントへの対応を高速化するような進化を目指していきます。XDRの領域も強化ポイントの1つです。
宮崎氏XDRは、今後注目すべきセキュリティと考えていますので、ぜひ注目したいですね。AIを活用した攻撃には、AIを活用した対抗しかないと考えていますし、SentinelOneは非常に優れたセキュリティソリューションだと考えています。先進的な技術を生み出し、日本国内でのコミュニティ形成を進めて、より強固なセキュリティ環境の実現に寄与してほしいと願っています。