説明責任を果たす–苦労を乗り越えた製造企業ローツェのNGAVとEDR、MDR導入の記録

今回は「説明責任を果たす–苦労を乗り越えた製造企業ローツェのNGAVとEDR、MDR導入の記録」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 現在のセキュリティ対策は、技術や体制、運用などを整えてリスクや脅威に備えることはもちろん、その取り組み状況を社内外にきちんと説明できることが求められる。製造業のローツェ(広島県福山市)は、自社のセキュリティ強化において「説明責任を果たせること」を信念とし、その実践を可能にするための取り組みでは多くの苦労も経験したという。同社に話を聞いた。

 ローツェは、半導体やフラットパネルディスプレイ、ライフサイエンス関連装置の開発・製造・販売を手がけ、アジアを中心として欧米にも事業拠点を有する。その事業特性から情報管理を含むセキュリティ対策は極めて重要であり、顧客や取引先などサプライチェーンへの説明責任を果たすことを大切にしている。

 IT戦略室 室長の南勲氏によると、2021年にサプライチェーン関連として、顧客から同社のセキュリティ対策についてアセスメントの要請があった。以前にもそうした要請はあったが、「『プリンターの周辺に紙の書類を放置していないか』といった基本的な点検項目ばかりだったところ、各種セキュリティ基準の順守状況や、NGAV(次世代ウイルス対策)およびEDR(エンドポイント脅威検知・対応)の導入の有無、実装状況といった具体的かつ厳しいレベルの内容に変わった」という。

 顧客の要請内容が厳格化した詳しい理由は不明ながら、近年における地政学的な状況の変化や、特に半導体関連産業をめぐる国家レベルでの施策の変化など、大局的な動向が影響したと見られる。

 南氏は、「今後のセキュリティアセスメントは、NIST(米国立標準技術研究所)の標準規格などを基準としてより厳格になり、ビジネスでの取引条件などにおいてもセキュリティの取り組み状況が大きく影響するようになると想定した。セキュリティ対策の強化には投資が必須になる。経営層にも理解してもらえるよう事情を説明し、従来型のウイルス対策からNGAVとEDRへの強化を検討した」と経緯を話す。

 NGAVとEDRの導入に際しては、多数のベンダーの情報を基にして製品候補を4社に絞り込み、ほぼ同時並行で概念実証(PoC)を行った。機能の確認や運用方法、使いやすさなどに加え、ベンダーの経営状況や評判、導入実績、取引先における知名度など多方面から検証した結果、コストパフォーマンスの高いあるベンダー(以下A社)と、機能面の高さや誤検知の少なさを確認できたというクラウドストライクの2社に絞り込んだ。

 この2社の提供内容には、製品の運用を支援するマネージドサービス(以下、MDR)が含まれていた。南氏によれば、当初はEDRを自社で運用する想定でいたが、A社のサービスはMDRを利用してもコストメリットがクラウドストライクより高く、この段階ではA社を選定した。しかし、実際にA社の製品・サービスで本番運用を開始してみると、事前に想定していた以上の事態に直面したという。

 NGAVやEDRは、セキュリティの脅威が疑われる兆候を検知すると、アラートを発出する。設定により検知精度などを変更できるが、従来型のセキュリティ製品では難しい巧妙で高度な脅威に対応するためのソリューションであるだけに、NGAVやEDRのアラートの量は従来型製品に比べて膨大で、アラートの内容も非常に軽微なものから緊急度の高いものまで多岐にわたる。

 冒頭で触れたように、同社は説明責任が果たせるセキュリティ対策を信念としている。南氏によると、セキュリティ製品のアラート対応などを可能な限り自社で行ってきたが、新たに導入したNGAVだけでも膨大なアラートが発生するようになり、各アラートの確認、内容の把握、対処内容の調査といった対応に忙殺される事態に陥った。「純粋な作業時間だけでも国内で約300時間、ベトナムの拠点では約500時間にもなり、ほかの業務ができなくなってしまった」(南氏)という。

 この状況を改善するためA社に相談するも、A社のMDRサービスがカバーしているのはEDRで、NGAVは対象外であった。また、アラート内容の確認や対処方法などを問い合わせても、応答に数日や1週間以上を要することがあり、回答内容も要領を得ないものであったり、検知精度を下げる設定に変更するようアドバイスされたりと、サポートサービスの品質に疑問を感じることが多々あったという。

 同社は、こうした状況に直面しながらNGAVとNDRを半年間ほど運用したが、A社の対応に不信感を覚え、調査と検討を重ねて継続利用をやめる決断に至った。

 南氏は、「この取り組みではインシデント対応力の向上を目指していた。しかし、その手前の段階となるアラートへの対応が想定以上に大変なことだと分かり、サポート品質などの実態も実際にサービスを契約してみなければ分からなかった。想定が甘かったと言えるが、使用を継続しても投資に対する効果を得られず、説明責任も果たせないと判断した。PoCの際に機能で良いと思った方を選択していれば良かった」と振り返る。

 折しも、このタイミングでクラウドストライク側から連絡があったといい、同社はNGAVとEDR、MDRの導入を改めて検討した。

元記事: https://japan.zdnet.com/article/35207679/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
Kubernetesに最適化されたコンテナランタイム「cri-o」、十分成熟したプロジェクトとしてCNCFの卒業プロジェクトに
Docker
2023-08-08 23:17
4~6月決算好調で日本株はPERで割安に–外国人による先物を使った空中戦停止
IT関連
2021-08-16 23:59
冷食専門店ピカール、「WOVN.io」でECサイトを多言語化
IT関連
2022-12-01 08:52
freee、「freee人事労務 雇用契約」提供–「freee人事労務」上で雇用契約書の作成を可能に
IT関連
2023-11-29 20:05
セールスフォース、アライアンス戦略発表–パートナー企業の資格取得を後押し
IT関連
2022-06-17 19:41
脚光を浴びる「プラス・セキュリティ人材」–求められる理由とは
IT関連
2023-09-27 00:23
欧州医薬品庁が不正に操作された新型コロナワクチンデータのリークを警告
セキュリティ
2021-01-18 02:22
Insight Techと東京海上日動、「事故対応支援AIモデル」を構築
IT関連
2023-02-11 20:07
日本企業にとってAPIは重要でもセキュリティに懸念
IT関連
2022-07-30 23:39
Microsoft、Edgeのバージョン89で起動時間短縮や垂直タブなどの新機能追加
アプリ・Web
2021-03-06 17:32
社員アンケート不要で従業員コンディションを把握可能なHRサービス「Well」が「wellday」へとブランド名変更
HRテック
2021-05-13 11:43
赤ん坊のように直感を学ぶDeepMindの人工知能「PLATO」
IT関連
2022-07-27 23:43
Electronライクな新フレームワーク「Gluon」登場。Chromium内蔵せずWebブラウザを利用、Node.jsだけでなくDenoとBunにも対応
Deno
2023-01-18 21:02
WebAssemblyに対してクラウドサービスを抽象化、そのままAWSでもAzureでもGoogle Cloudでも実行可能にする「SpiderLightning」、Deis Labsが公開、標準化も推進
WebAssembly
2022-11-08 19:22