freeeがEDRソリューションを全面的に刷新し、Cortex XDRを導入 過半数を占めるApple Macユーザーのセキュリティ強化を実現

freeeは、エンドポイントセキュリティ強化を目的にパロアルトネットワークスの「Cortex XDR」を導入した。同社がこれまで利用してきた EDR（Endpoint Detection and Response）製品は半数以上のユーザーが利用するApple Mac新機種・新OSへの対応が遅く、と くに開発環境のセキュリティリスクが高まることを懸念していた。そこで同社は従来製品のライセンス期限終了を機に、新しいEDRソリュー ションへ刷新することを決断。最新のApple Macにも迅速に対応し、既存のファイアウォール製品と連携してセキュリティ強化を実現でき るCortex XDRを導入することにした。Cortex XDRに切り替えた後は、業務に影響を及ぼすことなく快適に運用しながら、セキュリティ レベルを高い状態に維持できているという。

freeeは、「スモールビジネスに携わるすべての人が、創造的な活動にフォー カスできるよう」というミッションのもと、2012年7月に創業したクラウドサー ビス事業者。2013年にリリースした「クラウド会計ソフトfreee会計」をはじめ、 「freee人事労務」「freee会社設立」「freee申告」など、主に中小企業のバック オフィス業務を支援するさまざまなソリューションを展開している。freee会計 の有料課金ユーザー数は33万社以上、日本全国ほぼすべての銀行・金融機関と 連携し、クラウド会計ソフトとしては国内トップクラスのシェアを誇っているとい う。2018年には「スモールビジネスを、世界の主役に。」という新しいミッション を掲げ、中小企業に最適な統合型経営プラットフォームの開発・提供を推進して いる。

そんなfreeeでは、開発部門を含む従業員の半数以上が業務にApple Mac を利用しているという。ところが、これまで利用してきたEDR製品はApple Macの新機種・新OSへの対応が遅いという課題があった。

「ライセンス期限終了が迫っていた従来のEDR製品は、Apple Macへの対 応が遅く、Apple Siliconを搭載した新機種やmacOS新バージョンへの対応 スケジュールもなかなか提示されません。このままライセンスを更新しても、とく にApple Mac新機種への移行が進む開発部門では、開発者体験が落ちる・セキ ュリティリスクが高まるなどの悪影響を及ぼすことは必然です。

新しいmacOSが登場しても、EDR製品が原因でOSをバージョンアップできな ければ、当社が規定するセキュリティレベルも著しく損なわれることになります」 （freee CSIRTエンジニア 大音 慧明氏）

このようなエンドポイントセキュリティの課題を解決するために、freeeでは 従来のEDR製品の利用を止め、新しいEDRソリューションへ刷新することを決 断。すぐにソリューション選定作業を開始した。

「当社ではWindows PCも利用しているので、WindowsとmacOSの両 方とも新OSが登場してもすぐに対応できる追従性の高さを第一に、新しいソ リューションを選定することにしました。また、従来のEDR製品はエンドポイン トに導入するエージェントの動作が重く、しばしば業務に支障を来していたた め、エージェントが軽く快適に動作することも重視しました。さらに運用管理の 負担を軽減するために、監視に必要なログを漏れなく取得でき、インシデント 発生時には遠隔サポートツールが利用できることも要件にしました」（大音氏） 複数の候補を挙げて比較検討した結果、freeeが選定したのが、パロアルトネッ トワークスの「Cortex XDR」だった。

「当社は以前からパロアルトネットワークスの次世代ファイアウォール『PAシ リーズ』を利用しており、過去にも旧製品名『Traps』の時代に導入を検討した 経験があったことから、真っ先にCortex XDRが導入候補に上がりました。過 去に導入検討した際との機能差分を確認した結果、既存のPAシリーズや将来 的に導入を検討しているNDR（Network Detection and Response）や SASE（Secure Access Service Edge）との連携が可能であること、社内 SOCが進めるセキュリティ運用の自動化を実現する外部APIが充実しているこ とが決め手となり、Cortex XDRを導入することに決めました」（大音氏） freeeが新しいEDRソリューションの比較検討を行ったのは、2021年10月か ら12月まで。2022年1月からはCortex XDRをテスト導入し、PoC（概念実証） を行った。

「PoC実施時には、パロアルトネットワークス製品を取り扱う販売代理店が提 供するテクニカルサポートの受け答えが良く、当社が無茶振りをしても可能・不 可能という内容がしっかり提示されるなど、真摯に対応してもらえました。導入・ 運用に必要なドキュメントも公開・整備されており、運用開始後のサポートも受け やすいと判断し、Cortex XDRを正式に導入することにしました」（大音氏）

freeeではPoCの終了後、Cortex XDRをグループ全社・全拠点のエンドポイ ント1500台を２週間で一⻫に導入。2022年4月に運用を開始した。導入時に は、新しいmacOSが稼働する一部のエンドポイントにおいて、エージェントをイ ンストールしても管理画面に登録されないといったトラブルもあったとのことだ が、一つ前のバージョンをインストールして強制的にバージョンアップするという 方法で解決し、現在はすべてのエンドポイントで問題なく稼働しているという。

「同じパロアルトネットワークス製品からの更改だったので、移行作業自体が難しいということはありませんでした。しかし学内で設定していたセキュリティルールが数万単位で存在しており、それらを一つずつ確認しながら間違ったルールを修正、あるいは削除するといった棚卸し作業も必要だったため、移行に多少手こずったことは確かです。ルールの見直しは、本番運用開始後も継続して進めています」（関谷氏）テストについては、主に機能面の動作確認を中心に実施したという。

Cortex XDRの運用を開始して間もないものの、大音氏はすでにさまざまな 導入効果を実感している。

「従来のEDR製品でも、不審なプロセスを追いかけるようなことはできました が、遠隔操作でエンドポイントにログインしても一瞬のプロセスをキャッチするこ とは困難でした。また、実行されたプロセスと通信ログの突合が難しく、ファイア ウォールの通信とEDR製品のイベントを紐づけて分析するのに、時間と手間が かかることが大きな課題でした。実際にPoCを実施している最中、ファイアウォー ルが挙動不審なアラートを検知したのですが、従来のEDR製品では数日掛けて 調査してもその原因を特定できませんでした。そこで該当するエンドポイントの EDR製品をCortex XDRに入れ替えてログを取得したところ、プリンタドライバ が存在しないドメインの名前解決を行おうとしているプロセスであることが判明 し、ものの5分で解決に至りました」（大音氏）

Cortex XDRに切り替えてからは、エージェントによってエンドポイントの動作が 重くなるようなこともなくなり、ユーザーからは喜びの声も上がっているそうだ。大 音氏もセキュリティレベルを落とすことなく運用できていることを高く評価する。

「マルウェアの検知能力については、どのEDR製品もしっかりできていると認 識しています。しかし、Cortex XDRを導入したことにより、エンドポイントで起 きているイベントをすべて拾い上げるため、ログから状況を把握したうえでユー ザーへ確認することができるようになり、これまで見逃していた怪しいプロセス も検知できる仕組みが出来上がったと実感しています」（大音氏）

freeeは今後、今回導入したCortex XDRの活用の幅をさらに広げていく 計画だ。

「現時点ではPA-5450の性能に余力がありますが、PA-5450には拡張スロットが用意されているので、必要に応じてCPUやインターフェイスの拡張カードを追加・増設していきたいと考えています」（関谷氏）

「すでにエンドポイントにエージェントが導入されているので、これまでは難し かったNDRとEDRを合わせたXDRとしての利用を本格的に進めていく予定で す。XDRを導入したことで自社で運用しているSIEM（Security Information and Event Management）製品との親和性が高まりましたので、両方をうまく 活用して、これまでは難しかったリアルタイム分析の仕組みを整備し、インシデン ト発生時の影響を出来る限り小さくできるようにコントロールしていきたいと考 えています」（大音氏）

Cortex XDRやPAシリーズなどパロアルトネットワークスのソリューションは これからも、さまざまなバックオフィス向けクラウドサービスを提供するfreee のネットワークセキュリティを守り続けていくことだろう。