7月11日から13日にかけて開催された「ガートナー セキュリティ & リスク・マネジメント サミット 2016」において、西日本鉄道グループのITシステムを統括する西鉄情報システム ITサービス本部 部長の三宅秀明氏が、「サンドボックスを実装する際にログを自前で解析した西日本鉄道」というテーマの下、講演を行った。

サンドボックスは、未知のマルウェアや標的型攻撃への対策として、注目を集めているが、同社は自社で運用することを前提に、3社のサンドボックス製品を検証することで、導入を決定したという。

本稿では、同社がどのような検証を行っって導入するサンドボックスを決定したのか、サンドボックスを自社で運用するにあたってどのような点に注意しているのかなど、お伝えしたい。

西鉄情報システム ITサービス本部 部長 三宅秀明氏

サンドボックス導入前の課題とは?

西日本鉄道グループ(以下、西鉄グループ)は、グループ会社83社1学校法人、4252人の従業員から成る。手がける主な事業は運輸業、不動産業、流通業、物流業、レジャーサービスと多岐にわたる。

このように数多くのグループ企業から構成されていることから、サンドボックスを導入する前から、西鉄グループ全体としてセキュリティレベルを向上するため、「各社に散在しているサーバの集約」「グループ全体のインターネットへの出入り口の一本化」「ネットワーク側でのセキュリテ対策の強化」を実施していたという。

まず、サーバをデータセンターに集め、インターネットに接続する際はデータセンターを介して行うようにすることで、「出入り口の一本化」と「サーバの集中管理」を実現した。

次に、ファイアウォール、IDS、Webコンテンツフィルタリング、Webゲートウェイ、メール・ゲートウェイをデータセンターで一括して実施するとともに、各拠点でデスクトップにおけるアンチウイルス対策を徹底することで、ネットワーク側のセキュリティ対策を強化した。

三宅氏は、こうした施策を打ってみたものの、現在の対策で十分なのかという漠然とした不安を感じるとともに、導入している機器を効果的に運用できていないという課題を感じたという。

「サンドボックス導入」を経営課題としてアピール

こうしたなか、2011年後半から標的型攻撃による被害が報じられるようになったことから、現行のシグネチャ・ベースの対策では対応できないとして、セキュリティ・ベンダーのセミナーなどで情報収集を開始した。

2012年に、サンドボックス製品の評価を兼ねてネットワーク内の調査を実施したところ、未知のマルウェアを検知したため、対策の必要性を実感。その後2013年に、CMSの脆弱性を突いてWebサイトが改竄されるインシデントが発生し、早急に対策を打つ必要性に迫られた。

「2013年のインシデントは福岡県警から指摘を受けましたが、発見が早かったので、被害は最小に食い止められました」(三宅氏)

三宅氏は、サンドボックスの導入に向け、経営課題として、また、中期経営計画の重点対応課題として、サンドボックスが必要だと経営陣に訴えたという。一般に、セキュリティ対策はコストを生み出すものではないため、導入に際しては、経営陣を説得できるかどうかがカギとなる。

「経営陣に対しては、サンドボックスの導入が経営課題として必要であるとともに、他社の動向やコスト対効果を説明しました。また、既存のウイルス対策ソフトやセキュリティ機器では、ゼロデイ攻撃や標的型攻撃などの検知できない攻撃が多発しており、攻撃を受けた時にいかに迅速に対応するかが重要であるかについても伝えました」と、三宅氏は経営陣を説得するためのポイントを語った。

製品検討のポイントは検知能力と運用性

経営陣の同意を得て、サンドボックスを導入することになったわけだが、製品を検討する際は「検知能力は十分か」と「自社での運用が可能か」の2点がポイントとなったという。

セキュリティ製品の場合、ベンダーに運用を委託するケースも多いが、なぜ同社は自社運用の道を選んだのだろうか。

三宅氏は、サンドボックスを自社で運用することに決めた理由として、「自社のセキュリティ・レベルの向上」「セキュリティ製品の効率的な運用」「コストの内製化」の3点を挙げた。

「外部に運用を委託したとしても、最終的には内部の人間が対応しなければいけません。それならば、自社で運用することで、技術者を育成し、ノウハウを蓄積しようと考えました。また、自社で運用すれば、他のセキュリティ機器と一体的な運用が可能になります。コストの面では、自社で運用すれば、グループ全体でコストを圧縮することが可能になります」

サンドボックス導入時の検討ポイント

3製品のうち選ばれたのは!?

これらのポイントを前提として、3社のサンドボックスを同時に1週間設置して検証が行われ、「マルウェアの検知能力」「運用の難易度」「費用(初期費用、ランニングコスト)」が判定項目として利用された。

サンドボックスの検証方法

検証を行ったのは、FireEye NXシリーズとその他2製品だ。検証結果は後述するが、製品名が出ているとおり、同社はFireEye NXシリーズを導入した。

三宅氏は、「多段的な複合攻撃の検知」「サンドボックス回避技術への対抗」「C&Cサーバへの通信の検知」「脅威検知率」「誤検知率」「メンテナンス性」「ゼロデイ攻撃の発見数」のすべての項目において、FireEye NXシリーズがすぐれていたと述べた。

さらに、FireEye NXシリーズは、運用の負荷を軽減するための仕組みとして、「検出されるアラートは悪意があると判断された通信のみである」「アラートが4段階にプライオリティ化されている」を備えているという。

「FireEye NXシリーズは誤検知が少なく、グレーな通信はログに上がらないため、運用側での判断が最小で済み、本当に危険なアラートが埋もれてしまうという自体を回避できる」と三宅氏。

同製品を2年間運用してきた結果、「アラーと発生から一時対応までの時間が短縮された」「対応手順、対策がわかりやすくなった」「報告会で恒久対応の提案を受けるようになった」といった成果が上がっているという。さらには、自社のみで原因分析と対策の実施が100%可能になったことも紹介された。

西鉄グループのように、サンドボックスを自社ですべて運用することを考えている企業は少ないかもしれないが、ITベンダーにすべて任せることもまた難しいだろう。昨今のセキュリティ事情を考えると、自社である程度ログを監視する必要があるはずだ。そういった点では、同グループのサンドボックス導入の事例は多くの企業にとって役に立つのではないだろうか。