- 導入事例
守るべき資産を格納したサーバ側をロックダウンで保護、堅牢なセキュリティを実現したNCS&A
ITソリューションカンパニー(仮)
NCS&A株式会社 様
業種:システム開発・導入
幅広いお客様にITシステムの構築や導入支援といったサービスを提供してきたNCS&Aでは、サイバー攻撃の巧妙化、高度化を踏まえ、もう一段高いセキュリティ対策が必要だと考えていました。人的・技術的な対策を講じても、うっかり悪意あるファイルを開いてしまい、社内に横展開される可能性はゼロにできない前提で「AppGuard」を選択。クライアントとサーバの両面で対策を強化しました。
- 年々巧妙化するサイバー攻撃、注意を払っても見抜くのは困難に
-
NCS&AはITサービスベンダーとして、公共・医療・社会インフラや金融業、製造業など幅広いお客様向けにITシステムの構築や導入支援といったサービスを提供してきました。1961年の創業以来、メインフレームからクライアント・サーバ、そしてクラウドやIoTといった新たな技術が活用される今に至るまで、ITを生かしてお客様の成長を支援しています。
ただ、システムの開発やテストにおいては、必然的にお客様の、さらには顧客にとっての顧客のさまざまな情報を扱う場面が生じます。NCS&A情報セキュリティ担当者は、「われわれはシステム会社として、お客様のシステム構築を生業にしてきました。従って、お客様のシステムに関わる情報が最も重要であり、最も守るべき資産としてとらえています」と述べています。
NCS&Aでは万一にもそうした情報が漏洩しないよう、「ネットワークとエンドポイントの両面で技術的なセキュリティ対策を実施するのはもちろん、定期的に実施するセキュリティに関するeラーニングや社内通知を通じて、技術と人の両面でセキュリティ向上に努めてきました」(NCS&A 情報セキュリティ担当者、以下同)
しかし、サイバー攻撃は年々巧妙化しています。実在する取引先の名前をかたってメールを送りつけ、添付ファイルを開かせてPCを乗っ取りますが、それは第一段階に過ぎません。攻撃者はより高い権限を持つアカウントを探りながら社内システムでラテラルムーブメント(横展開)を行い、その構成を掌握し、内部からファイルサーバの暗号化を試みます。かつては高度な標的型攻撃で用いられることの多かった手法が、広くサイバー攻撃一般に用いられるようになっているのです。
このため、単純な定義ファイルベースの対策ソフトでエンドポイントへの感染を防ぐのは困難になっています。NCS&Aはこうした判断からクライアント側に「AppGuard Enterprise」を導入し、不正なプログラムの起動を未然に防ぐ環境を整えました。
写真はイメージです
- 「サーバロックダウン」というAppGuard Serverの考え方を評価
-
しかし、サイバー攻撃の侵入経路はそれだけではありません。ここ数年目立つのは、ネットワークの境界に設置されたVPN機器の脆弱性を突いたり、リモートアクセス用に公開したサービスのアカウントを破って企業ネットワークに直接侵入する手口です。テレワークの広がりに伴って、こうした経路のリスクはさらに高まっています。
一方、こうした手口による内側の侵害に対し、無防備なケースは少なくありません。その隙を突かれ、ファイルサーバなどに格納された重要なデータが暗号化されて事業を一時止めざるをえなくなったり、金銭的価値の高い機密情報や個人情報が盗み出されて脅迫を受けることになり、国内でも複数の被害が報じられています。
NCS&Aにおいても、システム開発に当たってさまざまな顧客情報も扱っています。その多くが保存されているのがファイルサーバをはじめとするサーバ群であり、サイバー攻撃者にとっては最も魅力的なターゲットです。資産としての価値が非常に高い割に手薄になりがちなサーバ群を、既存の対策をすり抜けてくる攻撃からいかに守り、万一サーバに到達されても、データの暗号化や持ち出しといった不正な行為を食い止めるかがポイントとなりました。
そこで目を付けたのが、「AppGuard Server」でした。クライアント側に導入したAppGuard Enterpriseと同様に、悪意があろうがなかろうがポリシーに反するプログラムはブロックする考え方に立っていることが特徴であり、サーバを「ロックダウン」状態に保つことができます。これにより、必要なアプリケーションやプロセスを安全に動作させつつ、サーバ固有のサービスを悪用した攻撃を阻止できます。
検証に当たったNCS&A 情報セキュリティ担当者は「AppGuardのこうしたアプローチは他の製品と大きく異なります。最初は理解するのが難しいところもありましたが、いったん腹落ちしてしまえば、この考え方が効果的な場面が出てくることが理解でき、非常にいい製品だと判断しました」と振り返りました。
- リスクの高いサーバを「AppGuard Server」で重点的に保護
-
こうしてNCS&Aでは、AppGuard EnterpriseだけでなくAppGuard Serverを導入し、クライアントとサーバの両面で対策を強化しました。仮に防御の網を潜り抜け、サイバー攻撃者がサーバに不正アクセスを試みても、ロックダウン状態になっていれば何もできません。不正な動きは封じ込められ、深刻な被害に至る前に食い止めることができます。
AppGuardの導入時には環境調査や適切なポリシー設定のため、数週間から数ヶ月かけて検証を行い、既存アプリケーションの動作に影響を与えないことを確認しながら徐々に導入するアプローチが取られる場合が少なくありません。しかし、NCS&Aでは短期間での導入に成功しました。
「弊社の場合はスピーディなを目指していたことから、エンドポイントへの導入同様、何かエラーがあれば、その情報を見てすぐに対処すると割り切ってトライアンドエラーで導入していきました」。こうして、クライアント側はもちろんサーバ側においても必要十分なベースラインを固めました。
- グループ会社にも展開した経験を踏まえ、お客様向け提案にもAppGuardを追加
-
一通り導入作業は完了しましたが、NCS&Aでは引き続きAppGuardのログを見ながら、会社としてどのような運用形態が最も適切かを見出していこうとしています。またNCS&A本体だけでなく、グループ会社でも導入作業が完了しており、グループ全体でセキュリティレベルの一層の強化に努めていきます。
そして、自社自身での導入を通してAppGuardの有効性を確認できたことから、正式に販売店としての取り扱いも開始しました。すでにお客様の要望に応じて、ファイアウォールやアンチウイルスといったさまざまなセキュリティ製品の導入支援を行ってきた経験がありますが、そのポートフォリオにAppGuardを追加し、導入を提案することで、一段と強固なセキュリティを提供していくといいます。
さらには「導入して終わりではなく、導入後、どう運用していくかの部分も支援できればと考えています。各セキュリティ製品からのログを監視したり、月次レポートの形にまとめたりして、お客様のセキュリティがどのような状態にあるかを一気通貫で見ていけるサービスを提供できないかと考えています」と、自らの経験と知見を生かし、セキュリティ面でも安心なシステムを提供していきます。