名目上のログ統合を解消し、セキュリティ運用を変革
クラウド活用の急速な広がりとリモートワークの普及、そして、巧妙化するサイバー攻撃。総合印刷会社として社会の多様な情報を預かる大日本印刷(以下DNP)は、長年培った情報資産の管理の知見を活かしながら、ゼロトラストネットワークにシフトした。
しかし、オンプレミスで運用していたSIEM(Security Information and Event Management)は大量ログの処理が追いつかず、名目上の統合にとどまっていた。それがログ分析の工数拡大、脅威検知の精度向上の障壁につながっていたことを受け、同社は新たにパロアルトネットワークスの「Cortex XSIAM」を導入。真のログ統合、AIによる高度な相関分析、業務や人に寄り添った自動化などによってセキュリティ運用を大きく変革した。今後は工場を含めたOT領域まで導入を拡大していくという。
また、セキュリティ事業者としての側面を持つDNPは、実践型演習を通じた人材育成に加えて、Cortex XSIAMを核とした統合セキュリティ監視運用サービスを開始。ユーザー企業として蓄積したノウハウを活かして顧客企業の支援にも注力している。
ログの分散よる脅威分析の工数と精度が課題
大日本印刷株式会社
常務取締役
金沢 貴人 氏
印刷(Printing)と情報(Information)の強みを掛け合わせた「P&Iイノベーション」を軸に、社会課題の解決と新たな価値創出を目指す総合印刷会社のDNP。「スマートコミュニケーション部門」「ライフ&ヘルスケア部門」「エレクトロニクス部門」の3つの部門で事業を展開している。出版・パッケージ・決済・認証・電子部品・医療など、幅広い分野で企画から製造、流通、情報資産の管理まで一貫して対応できる体制を持つことが同社の強みだ。
体制の強みの中に情報資産の管理が含まれているように、情報を安全に扱うこと、すなわち情報セキュリティは、同社の事業を支える重要な基盤である。「情報セキュリティという言葉がなかった時代から、DNPはお客様の情報を安全に扱うことを重視してきました。例えば、お客様の新商品のパンフレットを印刷する際は、情報が公開されるまで外部に漏れないよう、徹底した管理を行います。現在、手がけている請求書の発行業務代行や、交通系ICカード、クレジットカード、社員証・学生証などの開発・製造・発行を行うICカード事業なども同じです。個人情報を含む機微な情報を適正に扱うために徹底した管理を実践しています」とDNPの金沢 貴人氏は言う。
具体的には、国際規格に準拠したマネジメントシステムの運用、専門人材の育成、社員一人ひとりの責任と自覚を醸成するための教育・啓発活動の展開など、企業活動全般にわたる幅広い取り組みで、継続的に情報管理体制の強化を図っている。
株式会社DNP情報システム
サイバーフュージョンセンター
センター長
小山田 泰史 氏
もちろん、製品・サービスや社内システムへのセキュリティ技術の実装も積極的に進めている。現在の同社のセキュリティ対策のベースにあるのは、ゼロトラストの考え方だ。「クラウドサービスの利用拡大、パンデミックによるリモートワークの増加、そして、IDやパスワードを不正に入手して社内に侵入するといった悪質なサイバー攻撃の増加を受け、境界型防御には限界があると判断し、ゼロトラストにシフトしました。パロアルトネットワークスの『Prisma Access』と『Cortex XDR』を、ゼロトラストの中核ソリューションに位置付けています」とDNP情報システムの小山田 泰史氏は言う。
Prisma Accessは、クラウド型のSASE(Secure Access Service Edge)で、ユーザーがどこから接続しても同じポリシーで安全にインターネットや社内システムにアクセスできる。同社は、Prisma Accessならアクセス時のグローバルIPアドレスを固定できることを評価した。
一方、Cortex XDRは、エンドポイントやネットワーク、クラウドなどのログを分析し、不審な挙動を検知するEDR(Endpoint Detection and Response)/XDR(Extended Detection and Response)製品である。Prisma Accessと連携し、デバイスが社内ネットワークに接続する際にOSのアップデート状況や不審なソフトの稼働などをチェックする「デバイスポスチャー」を実現できる点が採用の決め手となった。
株式会社DNP情報システム
サイバーフュージョンセンター
サイバーナレッジアカデミー室
室長、主席研究員
アグナニ サンジェ氏
このゼロトラストへのシフトによって、同社は新しい働き方やクラウドの利用拡大、巧妙化する脅威に対応したわけだが、もう1つ解決したい課題があった。セキュリティ運用におけるSIEMの課題だ。
「SIEMをオンプレミスで運用していたのですが、パフォーマンスが悪く、大量のログを取り込むと表示などに時間がかかっていました。それもあって、名目上はSIEMにログを統合していても、セキュリティ運用の実態は、様々なシステムにログが分散しているようなものでした。インシデントが発生し、脅威分析を行うには、ネットワーク、ファイアウォール、メール、エンドポイントと複数の管理コンソールを使い分ける必要がある。結果、工数がかかるだけでなく、分析の視点がどうしても断片的となってしまう。例えば、1つのログでは小さなできごとのように見えても、同時期に、同じことが様々な領域で起こっているとなると話は変わります。もしかしたら緊急度の高いリスクの兆候を示しているかもしれません。断片的な分析では、それを見逃してしまう可能性があります」とDNP情報システムのアグナニ サンジェ氏は話す。
追求したのは“真”の統合と
業務に配慮した自動化
ログの分散によるセキュリティ運用の課題を解決するために、同社は既存のSIEMに代わる新しいシステムを導入することを決めた。新システムに求めた最も大きな要件は、名目上のログ統合を、“真”の統合に変えること。「様々なセキュリティ対策やネットワーク管理、資産管理のようなシステムはもちろん、海外拠点のシステムや、印刷工場のOT機器のログも統合したいと考えています。新システムは、それら多様なログに対応できなければなりません。また、取り込むだけでは以前と同じ。パフォーマンスの問題なく、そこで可視化や脅威分析が行えることも譲れない要件でした」と小山田氏は言う。
さらにSOAR(Security Orchestration, Automation and Response)やPlaybookによるセキュリティ運用の自動化や効率化にもこだわった。「SOARやPlaybookを備えているソリューションは多くありますが、私たちがこだわったのは、ビジネスや業務の視点を含めた自動化です。例えば、Playbookによってマルウェアに感染した端末をネットワークから自動的に隔離することは簡単ですが、それによって業務が止まることも考えなければなりません。隔離を実行する前に利用者と上長にメールを自動送信し、事情を説明したり、承認を得たりしてから隔離を実行する。人や業務に寄り添った自動化や効率化を行える仕組みが理想でした」と小山田氏は話す。
プラットフォーマイゼーションを体現 「Cortex XSIAM」
これらの要件を満たすシステムとして同社が導入したのがパロアルトネットワークスの「Cortex XSIAM」である。
Cortex XSIAMは、SIEMに加えてXDR、SOAR、ASM(Attack Surface Management)などを1つに統合したSOC(Security Operations Center)向けの「AI駆動型セキュリティ運用プラットフォーム」である。通常は複数に分かれている監視、分析、対処の仕組みを1つに統合するだけでなく、AIを駆使して高度化や自動化、効率化を図る。まさにパロアルトネットワークスが提唱する「プラットフォーマイゼーション」を体現したシステムである。
同社が目指す真のログ統合について、Cortex XSIAMは、標準APIを備えた主要クラウドやセキュリティ製品からはネイティブ連携でログを直接取得することが可能。たとえばAmazon Web ServicesやMicrosoft 365などとの接続は、認証情報を設定するだけという簡単さだ。
標準APIが用意されていない独自システムやオンプレミス環境のシステムであっても、「Broker VM」と呼ばれる仮想アプライアンスを社内に配置してログを収集できる。「特別なスクリプト開発は不要で、対象機器を選ぶだけでログを収集できます。当社が独自開発した個人情報漏洩対策ソリューションのログも問題なく統合できました。海外拠点や工場が、特殊なシステムを利用していてもこれなら安心です」と小山田氏は述べる。
セキュリティ運用の自動化や効率化についてもCortex XSIAMのSOARは「XSOAR」を名乗っており、複数のシステムを横断した高度な自動化が可能。「業務や利用者に考慮して、自動化の中に『承認プロセス』『通知・説明』を組み込むこともできる。私たちが目指す自動化の考え方と合致しています」(小山田氏)。
"情報セキュリティという言葉がなかった時代から、 DNPはお客様の情報を安全に扱うことを重視してきました。"
— 大日本印刷株式会社 常務取締役 金沢貴人氏
検知ルールの追加やAIモデルの調整で 過検知削減と検知精度向上を実現
Cortex XSIAMの導入によって、同社のセキュリティ運用は、大きく変わった。
デバイス管理者、ネットワーク管理者など、セキュリティに関与する多くの関係者がCortex XSIAMをセキュリティにおける共通プラットフォームとして活用し、監視や分析などを行っている。「以前のように、複数の管理コンソールを使い分ける必要はありません。しかも、Cortex XSIAMのダッシュボードは、自由度が高く、私たち自身の手で画面を追加したり、編集したりできます。役割に応じて見るべき情報を取捨選択し、役員用にはグラフ表示を中心にするなどして使いやすいダッシュボードを複数作成し、さらに効率化しています」とアグナニ氏は言う。
また、Cortex XSIAM は、AIが統合したログを自動的に相関分析して、インシデントを特定する。従来、同社ではセキュリティアナリストがアラートを見て、それに関連すると考えられるログを集め、それをつなぎ合わせて解釈し、危険度を評価して、危険と思われるインシデントをピックアップして脅威分析を行っていたが、現在はCortex XSIAMが緊急性が高いと評価したインシデントにのみ、対応すれば良い。「アラートの中からインシデントを特定する作業はCortex XSIAMに任せ、セキュリティアナリストは、限られたリソースと高度な専門性を、サイバー人材の育成など、別の仕事に役立てることができます」とアグナニ氏は言う。
また、同社はCortex XSIAMのAIモデルによる相関分析だけでなく、「コリレーション」という機能を使ってDNP独自の検知ルールを追加。さらに、AIモデルに対してもパラメータの調整を行って、過検知の抑制、検知精度の向上を図っている。「一般的には不自然で不正が疑われるふるまいであっても、DNPのある業務では、正常ということはあり得ます。そうした処理が検知されないようにしたり、海外で発生した悪質な攻撃に素早く対策するためのルールを独自に実装しています」(アグナニ氏)。
Cortex XSIAM の導入によってDNPが得たこれらの効果は、まさにプラットフォーマイゼーションが目指す価値である。「セキュリティに関わる人ならプラットフォーマイゼーションの考え方は、おそらく全員が賛成するでしょう。あとは、それをどのように実装し、実践していくか。私たちは、関係する組織や人の協調が鍵だと考えました。そこでPoCの段階から、複数部門の多様なメンバーにプロジェクトに参画してもらい、セキュリティのあるべき姿を議論しながら、共にプロジェクトを進めました。それによって、部門の垣根を越え、統合管理の意義を共有した協働体制が生まれ、全員で成功に向かう意識が醸成されました。その意識は、現在の組織間のコミュニケーションの多さや一体感にもつながっています」と小山田氏は説明する。
セキュリティ事業者としても
Cortex XSIAMに大きな期待
このようにDNPはCortex XSIAMによって、セキュリティ運用を改革したが、その経験とノウハウを顧客企業の支援にも役立てたいと考えている。
同社には、セキュリティ関連サービスや人材育成を通じて、顧客企業のセキュリティを支援するセキュリティ事業者の側面があり、Cortex XSIAM を活用した統合セキュリティ監視運用サービスなどを提供している。「サイバー攻撃をリアルに再現する実践型の演習を通じて、セキュリティ人材を育成する『サイバーナレッジアカデミー』においても、パロアルトネットワークスと協力したカリキュラムを開発し、受講者に提供していく考えです」とアグナニ氏は続ける。
Cortex XSIAMによるセキュリティ運用の高度化は、長年、情報資産の管理のあり方を追求してきたDNPが、デジタル時代のリスクに対抗するために選択した新たな一手である。「継承してきた情報資産の管理の知見や信念がお客様からの信頼と事業継続につながっているDNPにとって、情報セキュリティは欠かせない経営基盤である」と金沢氏は力強く述べる。Cortex XSIAMは、同社のセキュリティだけでなく、ビジネスの重要な柱を支えているのである。
この事例を共有
