CASE
一般財団法人東北電気保安協会

S&Jの対応によりセキュリティ基盤構築と実施計画を実現
自社だけでは難しいセキュリティ対策と運用

企業情報

会社名
一般財団法人東北電気保安協会

従業員数
1,438名(2023年5月1日現在)

事業内容
一般用電気工作物の調査業務、保安業務、広報業務

取材にご協力いただいた方

企画本部情報システム部長 高橋 修様
同本部同部情報システムG 課長 工藤 敏成様
同本部同部情報システムG 小野 康享様
同本部同部情報システムG 三浦 大介様

  • 目的
    • サイバー攻撃からの対応力を強化したい
  • 課題
    • 社内人員だけではセキュリティ強化の進め方が分からない
    • アラート発報時に対応できるセキュリティ専任者がいない
  • 効果
    • セキュリティ強化の優先度と必要工数が可視化できた
    • Active Directory(以下AD)とEDRの監視ができて検知と対応力を強化できた

経済産業省の「産業界へのメッセージ」を見て一念発起

企画本部情報システム部情報システムG
課長 工藤 敏成様

貴協会と情報システム部の業務について教えてください

一般財団法人東北電気保安協会 工藤 敏成様(以下、工藤)東北電気保安協会は、住宅や商店などの電気の安全を診断する「調査業務」(登録調査機関)、工場やビルなどの電気設備の保守点検を行う「保安業務」(電気保安法人)、電気を安全にお使いいただくめの「広報業務」、これら3つの業務を提供する一般財団法人です。東北6県と新潟の7県を管轄しています。

当協会の情報システム部では、人事労務など各種業務システム、機器の更新計画立案、開発、保守、運用、加えて情報セキュリティの運用や指導まで行っています。

情報セキュリティ全般で、どのような課題を抱えていましたか?

一般財団法人東北電気保安協会 高橋 修様(以下、高橋)昨今、ランサムウェアやEmotet(マルウェア)など、サイバー攻撃の脅威が高まっています。報道を見ると、ランサムウェア攻撃を受け、診療を停止せざるをえなくなった病院が出たなど驚かされます。取引先から侵入されること、データが破壊されると業務が止まるということにあらためて危機感を覚えました。

幸いにも当協会はサイバー攻撃で被害に遭ったことはないものの、サイバー攻撃対策の強化で「何かしなくては」と気にしていたところ、経済産業省「産業サイバーセキュリティ研究会」からの産業界へのメッセージを目にして、サイバー攻撃の対応力を強化する必要性を実感しました。2023年3月ごろからマルウェア検知件数が増えており、これまではあまり意識していませんでしたが、よく注意喚起されているサイバー攻撃を肌で感じています。

当協会は業務上、お客様のデータを保有していますので、情報漏えいを最も懸念しています。万が一、被害に遭えばお客様にご迷惑がかかるだけではなく、私たちの社会的信用も失ってしまいます。しかし情報システム部のメンバーだけでは、セキュリティを強化するにも専門知識や人員面で難しいのが課題でした。

セキュリティ管理体制においてはどのような課題がありましたか?

企画本部情報システム部長 高橋 修様

高橋情報システム部は9人で業務システムから情報セキュリティまでを担当していて、情報セキュリティの専任者は特に定めていない状態でした。なお、管理する職員用のPCは約2000台、サーバーは30~50台ほどあります。リモートアクセスは、専用端末からのみという制限をかけています。
標準的なセキュリティ対策はしているものの、ログ分析、監視、インシデント発生時の初動対応、調査、対処など、一連の対応をマニュアル化できていませんでしたので、外部の力を借りながらそれらのセキュリティ体制を整備する必要があると考えていました。

守備範囲の広さやサービスの多様性、セキュリティ運用の土台作りの支援が魅力

サイバーセキュリティ対策強化として、どのようなことから検討を始めましたか?

高橋先述した経済産業省のメッセージのなかで、「サイバーセキュリティお助け隊サービス」などの支援パッケージを活用することも推奨されていました。これがいい足がかりになりました。

セキュリティ対策強化にSOCやCSIRTが有効であり、当協会のように専門知識や人員的にも難しいなら、外部サービスを活用するという方法もあるとのことでした。ここからSOCやCSIRTをキーワードに各種サービスを比較検討し始めました。

企画本部情報システム部情報システムG 小野 康享様

最終的にS&Jを選んだのはどのような理由からでしたか?

高橋SOCやCSIRTでWeb検索すると、山ほどヒットします。自分たちだけではどの企業がいいのか判断できませんでしたので、NPO日本ネットワークセキュリティ協会(JNSA)や日本セキュリティ監査協会(JASA)などのサイトを通じて調査を進めました。

一般財団法人東北電気保安協会 小野 康享様(以下、小野)比較した項目はSOCの監視対象や対応時間、CSIRTインシデント対応や対応時間、加えて年額料金などです。違いが分かりやすいのは金額でしたが、SOCもCSIRTも初めて導入するため明確な基準がなく、金額だけでは決められませんでした。

高橋最終的にはWebサイトの分かりやすさやサービス提供範囲などで4社ほどに絞りこみました。そのなかでS&Jは守備範囲が広く、サービスの多様性があり、セキュリティ評価も実施しています。特にセキュリティ運用の土台作りの支援は魅力でした。

小野数社と相談を進めていくなか、S&Jは最後まで熱心に説明を続けてくれました。なかでもセキュリティ運用を「手段ありきで進めていくやり方でいいのでしょうか?」と問題提起してくれたことが印象的でした。もともとSOCやCSIRT支援サービスを要件として業者を探していましたが、「サービスを導入するだけでは万全ではなく、継続的に取り組む必要があります」との説明は説得力がありましたし、具体的に「こうすればいいですよ」とアドバイスもいただけて、信頼できると感じました。

EDRは専任者が不在だと運用に課題

ご導入いただいているAD監視やEDR監視(KeepEye®)に関して、検討から採用までの経緯を教えてください。

高橋当協会ではファイアウォールやウィルス対策など、従来型の境界型防御で標準的なものは一通り導入していました。しかし近年では境界型防御からゼロトラストへのシフトがあり、ランサムウェアなどサイバー脅威の増大があり、これまでの対策では限界があり不十分ではないかと感じていました。

なかでもアンチウィルスソフトで検知するだけではなく、EDRも必須ではないかと考えていました。ただしEDRを導入したとしても、専門知識がなければ運用できるだろうかと不安がありました。そこでEDR導入に加えて監視サービスも実施してくれるところを探しまして、S&Jが当協会の要件にドンピシャ合致したことになります。

EDR監視をきっかけとして、セキュリティ運用についてS&Jから話を聞くなかで、攻撃者が最初に狙うのはADと知りました。認証やアクセス制御を管理するADが攻撃者の手に渡ると致命的なことになりますので、ADは厳重に防御する必要があると考えAD監視サービスも導入することにしました。

EDRのなかでKeepEye®を選んだのはどのような理由からでしたか?

高橋EDRはいろいろとあるので悩みました。多くが監視を別料金としていましたが、KeepEye®は監視もセットという点が大きかったです。機能で見ると必要なものがそろっていて、なおかつ納得できる価格でした。機能と料金が当協会のニーズに適していました。

活動に繋げやすいセキュリティ評価と管理者の負担が少ないAD/EDR監視により安定した運用を実現

企画本部情報システム部情報システムG 三浦 大介様

サービス導入して得られた効果や気づいたことはありますか?

一般財団法人東北電気保安協会 三浦 大介様(以下、三浦)EDRを導入してみると、頻繁ではないものの月に数回アラートが発報されている状況です。アラート内容についてS&Jに問い合わせると、例えば「この内容なら攻撃ではないので問題ないです」と解説してもらえるので安心できます。

セキュリティ評価の結果は、おおよそ初回評価時の平均的なスコアでした。自分たちが気づかなかったところも含めて、中長期的に対策が必要なところを指摘していただけたので、優先順位が高いものから順次実施していこうと考えています。

高橋それらの結果には、必要な対策が優先順位別にリスト化されていただけではなく、必要な工数の見積もりも添えてあったのがよかったです。対策を施すなら人員を割り当てないといけませんが、どれくらい必要か分からないと計画が立てにくいですから。工数は一般的な環境における目安ですが、参考になる情報でした。

セキュリティアドバイザーも含めて、各種サービス導入を通じて効果や変化はありますか?

高橋月次定例ミーティングはまだ3回目です。直近のセキュリティに関するトレンドやニュースなどを紹介してもらい、知識が増えてきています。

三浦思ったより運用の手間が増えておらず安心しています。EDRを導入したらいろいろな手間が増えるかと覚悟していましたが、アラートが発報されたら問い合わせして、結果を見て終わるということが多いです。作業があっても「過検知なのでホワイトリストに登録」といった程度のものです。

今後の展開や展望について教えてください。

一般財団法人東北電気保安協会 本部

三浦中期的には、セキュリティ評価で指摘いただいた対策を順次進めていく予定です。加えて、社内のCSIRT構築、特にインシデント対応を中心とした体制づくりに向けて専門家からのアドバイスをお願いしたいと考えています。セキュリティ運用体制としては、技術的な改修・改善と運用の両輪で、S&Jにアドバイスをいただきながら徐々にレベルアップをはかっていきたいと思います。

※ページの内容は2023年6月23日時点の情報です。

導入事例へのお問い合わせ