国内最大手のケーブルテレビ事業・番組供給事業統括運営会社であるジュピターテレコム(以下、J:COM)は、内部不正対策として米Exabeam社が開発する次世代SIEMプラットフォーム「Exabeam Advanced Analytics」を導入、2019年10月に本番稼働を開始した。J:COMのサイバーセキュリティ推進部でマネージャーを務める筒井 英樹氏と、導入をお手伝いしたマクニカネットワークスの王原 聖雄氏に、導入の経緯や選択理由、今後の展望などについて対談をしてもらった。

次世代SIEMプラットフォーム導入の3つのポイント

・内部不正対策に有効な機械学習を使ったログ解析

・日本製の資産管理ソフトなどのログに対応できる高い柔軟性

・一定のコストで投資可能なフラットなライセンスモデル

  • (右)株式会社ジュピターテレコム サイバーセキュリティ推進部 マネージャー 筒井 英樹氏、(左)マクニカネットワークス株式会社 王原 聖雄氏

    (右)株式会社ジュピターテレコム サイバーセキュリティ推進部 マネージャー 筒井 英樹氏
    (左)マクニカネットワークス株式会社 王原 聖雄氏

ログを活用する次世代技術に着目

王原氏:最初に、J:COM様にはセキュリティ面でどのような課題がありましたか?

筒井 英樹氏

筒井氏:当社はケーブルテレビ局などさまざまな法人を買収していくなかで拡大してきたのですが、法人によってセキュリティレベルにばらつきがありました。そこで会社としてセキュリティレベルのベースラインを設定し、外部脅威対策に続いて、内部不正対策に乗り出すことになりました。内部不正に関する特段のインシデントが起きたわけではないのですが、他の企業で発生した事件を耳にし、当社も数百万というお客様の個人情報を持っていますので、強力な内部不正対策が必須と考えました。

王原氏:内部不正対策として、当社が提供する次世代SIEM(セキュリティ情報イベント管理)プラットフォーム「Exabeam Advanced Analytics」を選択した理由を教えてください。

筒井氏:プロジェクトを立ち上げたとき、そもそも内部不正をどのように監視すればいいのかわかりませんでした。そのなかで最初のアプローチとして、社内の営業やカスタマーセンターなどさまざまな部門の現場担当者を交え、当社が狙われるケース、たとえば営業部門が持っている契約者情報の漏洩などについて脅威モデリングを実施しました。その結果、すでに膨大に保有しているログを活用して異常な振る舞いを検知する手法がいいのではないかという結論になり、マクニカネットワークスに相談したところ、UEBA(ユーザー/エンティティ挙動分析。ログを分析し、機械学習によってユーザーの不正な振る舞いを検知する手法)を活用した次世代SIEMを紹介していただきました。

「Exabeam Advanced Analytics」の柔軟性を評価

王原氏:UEBAを使った製品は他社にもありますが、そのなかで「Exabeam Advanced Analytics」を特に評価した点はどこですか?

筒井氏:まず、Exabeam社製品はガートナーのリーダーポジションに選ばれていることです。そのなかで日本でも調達できる製品の一つが「Exabeam Advanced Analytics」であったことから、選択しました。最大の評価ポイントは、当社のログをどれだけ取り込めるか。いくら検知能力がすぐれ、未知の脅威に対応できるといっても、前提となるデータがなければ分析はできません。ログの取り込みについて詳しく調べていくと、柔軟性の高い「Exabeam Advanced Analytics」が圧倒的に有利だったのです。

  • Exabeam Advanced Analytics 機能概要

    Exabeam Advanced Analytics 機能概要

多方面でのPC操作ログを保存している資産管理ツールというジャンルの製品はアメリカではあまり行われておらず、日本特有のところがあります。資産管理ツールごとにログのフォーマットも異なっているので、当社が使っている資産管理ツールのログをアメリカの製品がきちんと認識してくれるか、懸念もありました。その点、「Exabeam Advanced Analytics」は柔軟性が高く、問題なく対応するとのことでした。

王原氏:当社としても、J:COM様の資産であるログを活用して内部不正対策を行うには「Exabeam Advanced Analytics」がぴったりだという思いがあったので、自信を持っておすすめできました。

真摯なサポートで順調に導入

王原氏:UEBAによるログ取り込みには、資産管理ツールのログを理解して分析する「パーサー」というツールが必要ですが、この開発についてはいかがでしたか?

筒井氏:パーサーを当社で開発するのではなく、Exabeam社開発のパーサーを実装してくれるということで、機能面でも、またサポート面でも心強かったですね。

王原 聖雄氏

王原氏:そこが他社製品との違いです。パーサーを自社開発すると、学習のためのモデルや不正検知のルールも作り直さなければならず、対応範囲が狭くなりがちです。その点、Exabeam社が作るパーサーならそういった問題が起きず、お客様の声を聞いて柔軟に対応できます。「Exabeam Advanced Analytics」の製品としての成熟度が高い点だと思います。ほかに、導入の決め手はありましたか。

筒井氏:マクニカネットワークスとExabeam社が真摯に取り組んでくれたことも高く評価しています。当社としては製品の仕様などわからないところも当然ありましたが、丁寧にサポートしていただき、信頼して任せることができました。 プロジェクト自体が持ち上がったのは2018年秋で、3月末からPOCに入ろうという話になり、4月から当社で蓄積していた本物のログを使って取り込みを開始。ゴールデンウイーク期間を挟んでExabeam社にパーサーを開発してもらい、微調整しながら8月までPOCを続け、結果的にPC操作履歴など欲しい部分のログをきちんと取得できたので、導入を決断しました。その後も9月に発注、10月にカットオーバーと、順調に進んだと考えています。

王原氏:当社はお客様の要望をかなえるため、地道に泥臭く取り組むとともに、悩みについては一緒に解決していくところが大切だと考えています。そこを評価していただけたことをうれしく思うとともに、実際にJ:COM様のご要望を半年のPOCできっちり実証でき、ホッとしています。

将来的には活用の拡大も視野に

王原氏:ところで、コスト面での評価はいかがですか。

筒井氏:SIEMは一般的にログ従量課金が多いのですが、本製品はユーザーライセンス課金なので、将来的に取り込みたいログの種類が増えても課金が増えないのは安心しています。
まだ稼働開始から間もないですが、もちろん導入して終わりではなく、今後はやはり内部不正対策で成果を出していかなければなりません。いま、外部からの脅威については侵入を完全に防ぐことはできず、内部に入ってからいかに検知するかがセキュリティ全般の課題となっていますが、内部不正対策のノウハウを蓄積していくことで、「Exabeam Advanced Analytics」を外部からの侵入後の検知対策でも使えることに期待しています。また、将来的にはログの分析を労務管理などに役立てることもできるのではないかと考えています。

  • ユーザーライセンスによる一定コスト課金により、課題を解決

    ユーザーライセンスによる一定コスト課金により、課題を解決

王原氏:当社としても、まずはセキュリティで効果を実感していただき、その先にJ:COM様の働き方改革の視点から、運用の効率化や自動化、タスク管理など他の部分でもご協力できればと思っています。

[PR]提供: マクニカネットワークス