~EDRアラートの正否判断と通知を委託~
セキュリティチームが本来の業務に集中できる環境を構築
企業情報
- 会社名
- セガサミーホールディングス株式会社
- 従業員数
- 478名(2022年4月1日現在)
- 事業内容
- 総合エンタテインメント企業グループの持株会社として、グループの経営管理及びそれに附帯する業務
取材にご協力いただいた方
ITソリューション本部プラットフォーム部 部長 小林 透様
同本部同部グローバルセキュリティ推進室 プロフェッショナル 佐藤 正博様
同本部同部グローバルセキュリティ推進室 田邉 由嗣様
-
目的
- グループ全社におけるセキュリティインシデントを未然に防ぎたい
- セキュリティチームが本来の業務に集中できるようにしたい
-
課題
- 開発者の業務端末で生じるアラートが大量で対応に追われてしまっている
- 自社メンバーだけでは深夜や土日祝日のアラートに対応することができない
-
効果
- セキュリティ担当者のSOC(EDRアラート対応)工数を大幅に削減
- EDR運用の属人化を防ぎ、アラート対応の迅速さと正確性を実現
パソコン健康診断の次の施策でCrowdStrike Falconを導入
ITソリューション本部プラットフォーム部
部長 小林 透様
セガサミーグループについて簡単に教えてください
セガサミーホールディングス 小林 透様(以下、小林)セガサミーグループ(以下、セガサミー)は、ゲームメーカーのセガと遊技機メーカーのサミーが経営統合して生まれました。ゲームコンテンツからトイまで様々な遊びのコンテンツを提供するエンタテインメントコンテンツ事業、パチンコ・パチスロなどの機械を提供する遊技機事業、さらにホテルや複合施設を通じた感動体験を提供するリゾート事業を柱にした総合エンタテインメント企業です。
プラットフォーム部グローバルセキュリティ推進室の皆さまはどのような業務を担当されていますか?
セガサミーホールディングス 田邉 由嗣様(以下、田邉)セガサミーグループ全体のセキュリティ施策企画、各社・各部署からのセキュリティ相談、SOC(Security Operation Center)全般も担当しています。監視対象となるグループ企業は日本のほか、中国や韓国など時差が近い国や地域も含まれます。ユーザーやサーバーなどの台数(ノード数)だと1万2000ほどです。Crowd Strike Falcon(以下、Falcon)だけではなく、各種管理ツールを導入することでグループ全体のセキュリティレベルを高める施策を企画・実施しています。
エンドポイント保護に関する取り組みの経緯を教えてください
同本部同部グローバルセキュリティ推進室
プロフェッショナル 佐藤 正博様
セガサミーホールディングス 佐藤 正博様(以下、佐藤)近年、長期間潜伏するようなサイバー攻撃が現実的な脅威となりつつあります。ファイアウォールやアンチウィルスなど標準的なセキュリティ対策は施していたものの、クライアント空間が正常であるか確認したいということになり、2014年にS&Jにパソコン健康診断(※)を実施してもらいました。ただし診断結果は実施時のスナップショットでしかありません。何度も実施するのは非経済的ですし、常にその状態を確認したいという要望もありました。
当時はまだ「EDR」という言葉が浸透していない時代でした。クライアント空間がセキュアか確認できるツールを比較検討したところ、候補はまだ3~4つしかなく、最終的には2015年にFalconを採用しました。当時は「ふるまい検知」とも言われていましたが、悪性の行動を監視できるプロダクトはFalcon以外にあまりなかった気がします。
(※)ウイルス対策ソフトや資産管理ツールでは検出できない未知のマルウェアやポリシー違反となるソフトウェアなどのリスクを可視化するサービスです。
日々増加するアラートに伴い、肥大する対応工数と時間が課題に
同本部同部グローバルセキュリティ推進室
田邉 由嗣様
Falcon導入の対象や規模はどのぐらいでしょうか?
佐藤まずはセガの開発者を中心に4000台ほど導入しました。
小林開発者だと業務が定型的ではなく、様々なツールを検証、活用しますので、比較的リスクが高い状態にあります。次第に導入するグループ企業が増えて最終的には1万2000まで導入台数が増えましたが、セキュリティチームの人数はほぼ同じ状況でした。
田邉Falconが監視できるものも増えてきたため、アラートが年々増加する傾向にありました。
アラートにはどのようなものがありましたか?
田邉ランサムウェアやEmotetなど、検知すべきものにはアラートが発報されて当然ですが、フリーソフト、またはマルウェアとまではいかないソフトウェアやアドウェア(のインストール)が多かった印象です。フリーソフトらしきものの中には、作者や開発元ではない第3者が再配布しているものもあります。どこかで改変されてマルウェアが混入されているかもしれませんので、きちんと調査する必要があります。
佐藤WordやExcelからPowerShellがキックされるようなものもあります。あるときはサーバーに侵入された直後に、即時に封じ込めて侵入を止めたこともありました。 Falconがあったから可能でした。
アラートが発報されたら、どのように対応されていましたか?
インタビュー当日に佐藤様と田邉様が着ていたSEGA SAMMYS2SIRTジャンパー。「忍者がモチーフのロゴですが忍んだ活動とは言い難いです」とのこと。
佐藤アラートの内容を理解し、該当するユーザーに通知したり、必要であれば封じ込めるなど何らかの作業が発生したりします。例えばアラートがソフトウェアのインストールなら、そのソフトウェアがどんなものか確認しなくてはなりません。もし業務に必要なら許可する必要があります。実際には「試しに入れてみただけです」と返されることが多いですが。こうした対応の手間は少なくなかったです。
アラートの頻度はどのくらいまで増えましたか?
田邉Falconを導入してから数年前までは、ミディアム以上のアラートは週に数件ほどでした。そのうちに毎日数件から十数件になり、さすがに「もうセキュリティチームだけでは支えきれない」という感覚になってきました。セキュリティチームはSOCだけやっているわけではないので、アラート対応が増えるとセキュリティ向上のための施策検討など本来の業務に差し障ります。
佐藤特に対象企業が増えた直後には、アラートが一時的に増える傾向にあります。それまでは自由にソフトウェアをインストールしていたのかもしれません。自分の操作でアラートが発報されることを経験すると、ソフトウェアのインストールなど危険を伴う操作には慎重になるようで、アラートは次第に減ります。参考までに、直近では、ミディアム以上のアラート件数は1ヶ月で121件でした。単純に日割りだと1日4件です。深夜や土日でもお構いなしなので、これでは体が持ちません。
EDR運用工数の7割削減を目指して
監視サービスの導入を決断したタイミングはいつ頃でしょうか?
小林アラート件数が増えてきたことよりも、深夜や土日にもアラート対応することで生じる精神的な負担が大きいです。また本来であればセキュリティチームは新しい試みやグループ内からの相談に時間を割きたいのに、SOCに時間や労力を取られてしまうのは惜しいです。また現在担当しているメンバーがセキュリティにとても詳しいスペシャリストなので問題なく運用できてきましたが、深夜・土日までは無理ですし、不在時もありますので特定の個人に依存してしまうのはよくありません。こうした理由から運用監視の委託という形で当サービスを採用しました。
SOCサービスを提供している企業が多くあるなか、S&Jを選択した理由は?
小林端的に言えばコスト面の合理性、さらに我々のリクエストを真摯に聞き、対応してくれたところです。できること・できないことをきちんと線引きしてくれるので、相談や組み立てもしやすく、信頼関係にもつながりました。
監視と対応にかかる労力はどれくらい減りましたか?
田邉PoCを経て、7割削減を目標にしました。対応時間は1件あたり5分で済むものもあれば30分~1時間程度かかることもあり、深夜や土日であればもっと時間がかかってしまうでしょう。アラートの件数が減ることはありませんが、S&Jに初期対応してもらうことで、初動の早さと対応工数の大幅削減が狙えると考えました。現状ではまだ3割程度の削減ですが、徐々に目標に近付けていきたいと思います。
佐藤アラートが発報された時に、このファイルは何か、このソフトウェアは何かなど、初期調査から「False Positive(誤検知)」などのタグ付けを行ってくれるので助かっています。アラートをひとつひとつ確認する部分では、だいぶ楽になりました。
小林多くのアラートが直接グループ会社の担当者に届くような運用が実現したら、セキュリティチームの対応はエスカレーションされた二次対応だけになるため、最終的には7割くらい削減できるだろうと見込んでいます。2023年中には到達したいですね。
田邉専門家が初期調査してくれば、チェックミスが減ることを期待できます。これまでのように内部の少人数だけでチェックしていると重要な検知を見逃してしまうこともあるかもしれません。これは誤検知よりも怖いことですが、専門家に見てもらえば安心できますね。
業務分担できる企業が見つからず、ようやく辿り着いたS&J
エントランス前のエイリやん&ソニック。
今後の期待や展望について教えてください
小林重要な脅威を見逃すことがないようにするとどうしても誤検知や過検知が多くなりがちです。Falconの検知精度向上や自動化が進んで、我々の対応が減るといいですね。今後さらに監視対象が増える見込みですので、引き続きS&Jと一緒にセキュリティの取り組みを進めていきたいと考えています。
田邉インシデントには至りませんでしたが、直近でも不審なメールのアラートが大量にあがりました。グループ企業が増えれば監視対象も自ずと増えますが、これからもインシデントを未然に防ぐことに尽力します。
小林これまで監視のアウトソースを検討していたものの、うまく業務分担できる企業が見つからず、ようやく見つかったのがS&Jでした。今後も互いに改良を重ねていきたいという思いを持っておりますので、よろしくお願いいたします。
※ページの内容は2023年2月8日時点の情報です。