国内とグローバルの拠点に配備されたエンドポイントを可視化――東芝グループが実践するEDR活用とは

株式会社東芝では、長年にわたり培ってきた“ものづくり”の知見を軸に、エネルギーや社会インフラをはじめ産業分野でのビジネスを拡大して「インフラサービスカンパニー」への転換を進めています。サイバー攻撃が多様化・高度化していく状況のなか、従来の境界型セキュリティ対策ではセキュアにビジネスを展開できないと考えた同社は、リスクベースのセキュリティマネジメントへと方針変更。「VMware Carbon Black Cloud」を導入し、インシデント対応の強化とアセット管理の一元化を推進しています。

ソリューション

サイバー攻撃が多様化する状況のなか、従来の境界型セキュリティ対策からリスクベースのセキュリティマネジメントへと方針を変更。「VMware Carbon Black Cloud」を採用してアセットの見える化を実現し、国内・グローバル拠点のエンドポイントを一元管理できる環境の構築に成功した。

導入前の課題

• 従来の境界型セキュリティ対策では対処できなかった多様化・高度化を続けるサイバー攻撃への対応
• エンドポイントのセキュリティ管理は各拠点に任せており状況の把握が困難
• 迅速なインシデント対応が必要な一方で、インシデント対応ノウハウを持った人材の不足

導入効果

• VMware Carbon Black Cloudの導入により、エンドポイントのセキュリティを強化
• VMware Carbon Black Cloudで多様なログを収集し、グループ全体のアセットを可視化
• リスクを前提に「防御」「監視」「対応」「評価」のサイクルを構築し、迅速なインシデント対応を実現

＊＊＊

リスクを前提に「監視」と「対応」の強化を図るため、EDRソリューションの導入プロジェクトを始動

東芝グループは、インフラの構築・運用や、そこで得られるデータを活用した付加価値の高いサービスの提供を軸にビジネスを展開しています。デジタルトランスフォーメーション（DX）の取り組みが進む産業分野ではサイバーセキュリティのリスクが顕在化しており、インフラサービスカンパニーを目指す同社にとってもセキュリティ強化は最優先のミッションでした。グループ全体のサイバーセキュリティを統括する株式会社東芝 技術企画部 サイバーセキュリティセンター ゼネラルマネジャーの天野 隆氏はこう語ります。

「データを活用して顧客にサービスを提供する際には、サードパーティリスクに対処する必要があります。そのためには、私たち自身がネットワークやクラウドでつながっても顧客に安心してもらい、信用される企業にならなくてはなりません。顧客の信用を得るには、企業ネットワークの境界で『防御』するだけでは十分でなく、リスクを前提に『監視』と『対応』を強化するソリューションの導入が不可欠となります」（天野氏）

• 株式会社東芝 技術企画部 サイバーセキュリティセンター ゼネラルマネジャー 天野 隆 氏

同社では、「ライフタイムプロテクション」というコンセプトを提唱し、「設計・防御」「監視・検知」「対応・復旧」「評価・検証」のサイクルを継続的に回していくことで、多様化・高度化を続けるサイバー攻撃に対応するという取り組みを進めています。従来の「防御」中心のセキュリティ対策だけではライフタイムプロテクションのサイクルが十分に構築できなかったため、エンドポイントで機能するリスクベースのセキュリティソリューションとなる「EDR（Endpoint Detection and Response）」の導入が検討されました。今回のEDR導入プロジェクトにおいて、グループ全体への展開を推進したサイバーセキュリティセンター エキスパートの小島 健司氏は、EDRに注目した経緯を語ります。

「東芝グループは国内・海外に広範なネットワークを構築しており、境界型のセキュリティ対策に限界を感じていました。標的型攻撃など従来のセキュリティ製品では防げない攻撃が増えてきたこともあり、エンドポイントのセキュリティ強化が必要と考え、当時普及し始めていたEDR製品に注目しました」（小島氏）

• 株式会社東芝 技術企画部 サイバーセキュリティセンター エキスパート 小島 健司 氏

当時は、IT管理を各拠点に任せていた部分が多く、端末管理もグループ各社で個別に行っていたため、アセット管理ができていなかったと小島氏。グループ全体の端末のセキュリティ状況を本社のサイバーセキュリティセンターで一元管理するためにも、アセットを見える化しインシデントの検知から対応まで行うEDRは見逃せないソリューションだったと振り返ります。

インシデントの「監視」「対応」を強化するため、VMware Carbon Black Cloudの採用を決定。短期間で13万台の端末への導入が完了した

こうしてEDRの導入検討を始めた同社は、2019年初頭からさまざまな製品を評価しPoCを実施。その結果、ヴイエムウェアが提供するEDRソリューション「VMware Carbon Black Cloud」が採用されました。天野氏は、採用の決め手として「検知精度の高さ」と「多様なログが取得できること」を挙げます。

小島氏も「インシデント対応においては、検知精度だけでなく、ログの関係性を明確化しどのようなプロセスで攻撃が実行されたかを把握できることが重要になります」と語り、詳細な情報を収集・可視化できるVMware Carbon Black Cloudを採用した理由を説明します。

2019年夏にVMware Carbon Black Cloudの採用を決定した同社は、同年秋からグループ各社への展開を開始します。まずは国内拠点の端末への導入を進め、2020年3月には約9万台のPC/サーバーへの展開が完了。2020年度からはグローバルの拠点に関しても展開を開始し、現在は国内・海外を合わせて約13万台に導入されている状況です。

Active Directoryの機能を利用して自動配布したことで、国内での展開は実質4～5カ月で完了。ネットワーク帯域を圧迫しないよう負荷分散を行いながら展開を進め、通常業務に影響を与えることなく導入に成功しています。グローバルへの展開は現在も進行中ですが、国内と比べて端末を厳密に管理できていない拠点も多く、想定していたライセンス数と差が出るケースもありました。天野氏は、ヴイエムウェアの柔軟な対応と丁寧なサポートで、こうした課題を解消できたと評価します。このほか導入時に出てきた細かなトラブルに関しても、ヴイエムウェアのPSO（Professional Services Organization）サービス による丁寧なサポートにより、スムーズに解消されていったといいます。

VMware Carbon Black Cloudを導入したことで、同社が得たメリットは多岐にわたります。当初の目的の1 つとなる「見える化」に関しては「想定以上にグループ全体のリスク状況が見える化でき、対応の優先度を付けるのに苦労している状況です」と天野氏。地域ごと、組織ごとのセキュリティ対策の傾向が把握できるようになり、どこにガバナンスを効かせればいいのか、どれだけの投資をすればいいのかといった対策までが見えてきたと、導入効果の大きさを実感しています。

外部の脅威情報とエンドポイント、ネットワークログを集約し、自律的なセキュリティ体制を確立する

東芝では、VMware Carbon Black Cloudの展開を続け、より強固で効率的なセキュリティ体制を構築していく予定です。

「今後は自動化・自律化を進めていきたいと考えており、セキュリティ運用基盤「CDMP（Cyber Defense Management Platform）」に、外部からの脅威情報とエンドポイント、ネットワークのログを集約・分析する仕組みを構築しています。また、VMware Carbon Black Cloud が提供する機能の活用の幅を広げることで、より効率的な管理が行えると考えています。」（天野氏）

小島氏も「インシデントが発生した際の検知や対応はもちろんですが、今後はインシデントを未然に防ぐためのプロアクティブ的な対応も重視していく必要があると考えています」と今後の展望を口にし、すべての端末のログを集約できるVMware Carbon Black Cloudが担う役割は大きいと期待を寄せます。

従来のセキュリティ体制にEDRを組み込んだことで、東芝グループにはVMware Carbon Black Cloudの導入・運用に関するナレッジが蓄積されています。「今回のプロジェクトで得られたナレッジを、東芝グループが提供するインフラサービスやデータサービスに活用していきたい」と天野氏。さらにパートナーや顧客とナレッジを共有することで、サードパーティリスクへの対応を強化していきたいと語ります。

ライフタイムプロテクションを実践し、グローバルを含めたセキュリティ体制の一元化を目指す東芝グル－プの取り組みは、現代企業に求められるサイバーセキュリティにおける1つの“解”となるはずです。

＊＊＊

[PR]提供：ヴイエムウェア