CrowdStrike Falcon®プラットフォーム / GSXアラート監視サービスの検討背景

導入のきっかけや背景をお聞かせください

電子カルテとは別ネットワークの事務環境で利用している端末1台でEmotet（エモテット）感染が検出され、グローバルセキュリティエキスパート（以下、GSX）にフォレンジック調査を依頼しました。事務環境のセキュリティ強化が重要課題であったことも併せ、再発防止策としてエンドポイントセキュリティをご提案いただき、導入に至りました。

導入以前は社内にどのような課題があり、どのような解決策を検討したのかお聞かせください

電子カルテ環境はネットワーク隔離されており安全性も確保しておりました。かたや事務環境ではセキュリティ全般について脆弱であることを認識していました。まず、恒久対策として端末を保護し、防御力を上げるためにエンドポイントセキュリティの導入を急ぎました。
今回の対策でエンドポイントセキュリティ強化ができましたので、あらためて課題を整理し、順次セキュリティ強化を進めていきます。

他社サービスを検討しましたか

複数の著名なエンドポイントセキュリティ製品を検討しました。導入後のメンテナンス性や、運用管理する上での懸念を払拭できる製品を選定しました。

CrowdStrike Falconプラットフォーム製品採用のポイントや決定打はどのようなところでしたか

高度な脅威に対する検知力、未知の脅威に対する抑止力、端末に負荷が掛からない等の観点から検討しましたが、何より導入コストやGSXのサービス体制の盤石さから導入を決定しました。

CrowdStrike Falcon®プラットフォーム / GSXアラート監視サービスの効果・効用

効果・効用をお聞かせください

製品導入後、ウイルス検知のアラートが上がることもあり、防御/抑止を明示的に認識できるので以前と格段に違う安心感があります。効果の見える化が実現できています。

セキュリティ対策について今後の展望をお聞かせください

CrowdStrikeの機能には満足しています。運用面で端末入替時のシームレスな移行が課題です。標準で自動機能があると助かりますね。できれば同業他社の（成功）事例を参考にしたいと考えています。昨今、ChatGPTなどの生成AIがもてはやされていますが、当該機能を活用した自動化や効率化には非常に興味があります。

今回、エンドポイントセキュリティ強化による検知/抑止/防御力向上が実現できました。コンピューターシステムでのセキュリティ強化は当然として、従業員の意識向上のため、教育も充実していきます。医療法人ではＰマーク取得についても検討しております。

境界防御からエンドポイント防御へ、根本原因が分からなければ対症療法しかできない　ディップが「EDR」を選んだ理由

求人メディアとAIやRPAといったDX関連事業という二足のわらじを履くディップは、クラウドサービスの業務利用の拡大によって境界防御に課題を感じていた。同社がこの課題を解決するために選んだセキュリティ製品とは何だったのか。

「バイトル」「バイトルNEXT」「はたらこねっと」など、ディップは国内有数の求人メディアを展開する企業だ。

社名の「dip」には、創業者の冨田英揮氏が草創期に抱いた「dream」（夢）、「idea」（アイデア）、「passion」（情熱）という意味が込められている。ディップは、AI（人工知能）やRPA（Robotic Process Automation）といったDX関連事業にも果敢に挑戦している。これは、少子高齢化に伴い労働力不足が深刻化する中、「労働力に関する諸問題の解決にさまざまな角度から貢献したい」という同社の思いの表れだ。

挑戦を続ける中、ディップが直面したのはセキュリティの課題だ。クラウドサービスの業務利用拡大に伴い、「境界防御」から「エンドポイント防御」へとセキュリティの考え方を大きく切り替える必要があった。セキュリティ製品の導入でこの課題を解決することにしたが、市場にはさまざまな製品があるため検討には時間がかかった。製品選定から導入まで1年を要したという。

同社が選んだ製品とは何だったのか。製品選定に関わったディップの運用担当者に話を聞いた。

SaaS利用増加を機会に、境界防御からエンドポイント防御にかじを切る

ディップは、ビジネスの発展に合わせてセキュリティ対策にも注力してきた。2004年のプライバシーマーク取得に始まり、2005年に情報セキュリティ規格「BS7799」と「ISMS認証基準」の認証を取得、2006年には情報セキュリティマネジメントシステム「ISO 27001（JIS Q 27001）」認証を取得している。

こうした背景もあり、SaaS（Software as a Service）の業務利用が増えたタイミングで即座にセキュリティの検討が始まった。もちろん、その時点でウイルス対策ソフトは導入しており、脅威もある程度検知できていた。だが、ディップの田端義典氏（商品開発本部　情報システム部　部長）は「ウイルス対策ソフトには一抹の不安があった」と語る。

「最も不安だったのは『何も起こらないこと』だ。安全だったのか、それとも検知していないだけなのか、そこが懸念だった。一方で『脅威を検知すればよい』というわけでもない。検知できても、根本原因が分からなければPCの隔離や入れ替えといった対症療法しかできない。根本原因が分からないので社内にも『危なそうだから気を付けて』と曖昧な指示しか出せない。それが歯がゆかった」

SaaSといっても従業員のほとんどが利用するものもあれば、特定の部門だけが利用する業務特化型のSaaSもある。これらのサービスの利便性を下げずにセキュリティを確保するためには、境界防御からエンドポイント防御に考え方を変える必要がある。そこで、情報システム部は「EDR」（Endpoint Detection and Response）導入に向けて動きだすことにした。2019年2月のことだった。

CrowdStrike Falconを選んだ理由

取引のある事業者へのヒアリングや情報セキュリティ専門展示会、セミナー参加、ベンダーへの問い合わせなどを基にセキュリティ製品の情報を集め、3つの製品が候補に残った。重視したのは「事業継続性」と「サポート体制」だ。

「ユーザーが快適に業務を遂行できなければ事業継続に支障が出る。セキュリティ製品の中には、既存アプリケーションとの相性が良くなかったり動作が重かったりして、ユーザーの業務を中断させてしまうものもある。それは何としても避けたいと考えた」（田端氏）

一方で、脅威の攻撃手口が年々凶悪化する中、社内エンジニアだけで全ての脅威に対応するのは難しいとも田端氏は考えていた。とはいえ、丸ごと外部にサポートを委託するのではコストが高くなり、社内にセキュリティナレッジを蓄積できない。「いかに柔軟なサポートを提供してくれるか」は製品を選ぶ上で外せない要件だった。

そこでディップの鎌田昌樹氏（商品開発本部　情報システム部　インフラ運用課　課長）は、候補に挙がった3つの製品に対して導入の価値があるかどうかを検証する「PoV」（Proof of Value：価値実証）を実施した。

1製品につき2～3週間かけ、端末へのインストールは簡単か、どういった環境で動作するのか、どのログを取得できるかといったさまざまな項目をチェックし、減点方式で採点した。その結果、最も減点が少なく、要件を満たしていたのが「CrowdStrike Falcon」だった。CrowdStrike Falconは、さまざまなセキュリティサービスを利用できるセキュリティプラットフォームだ。

「セキュリティに携わる立場としては『もしものときにさかのぼって追跡できること』は非常に重要な要素だ。そのためにはさまざまな情報を収集しておく必要がある。ユーザーモードで動く製品は収集できる範囲に制約があり、十分なログを取得できないことがある。その点、CrowdStrikeのEDR『Falcon Insight』はOSの中核である『カーネル』と同じレベル（カーネルモード）で動くため、より多くの情報を集められる。プロセスをグラフィカルに確認できるので分かりやすく、直感的に操作できることも評価している」（鎌田氏）

田端氏は「グローバルセキュリティエキスパート（以下、GSX）の『MDRサービス for CrowdStrike Falcon』が利用できることも選定した理由の一つだ」と補足する。

「MDRサービス for CrowdStrike Falconは、GSXがCrowdStrike Falconの運用を支援するサービスだ。他のセキュリティサービス事業者が大規模な提案をする中、GSXはこのサービスで『運用の主体はディップのままで、いざというときに問い合わせ対応や技術サポートをする』という理想的な提案をしてくれた」

当初はEDRの導入だけを考えていたが、次世代ウイルス対策製品である「Falcon Prevent」が従来のウイルス対策ソフトの機能を包括し、なおかつ未知の脅威に強いとGSXに薦められ、EDRと同時に導入を決めた。

CrowdStrike Falcon®プラットフォーム / GSXアラート監視サービスの検討背景

偽装ウイルスに見抜けず、水際対策の限界を痛感

竹中工務店グループは国内外で事業を展開する大手建設会社として、以前から真摯（しんし）な姿勢でセキュリティ対策に取り組んできた。
しかし、同社が「水際のウイルス対策だけでは防ぎきれない」と認識し始めたのは2016～2017年ごろだ。偽装ウイルスを用いた診断サービスでテストを実施したところ、当時のセキュリティ体制では見逃したという。これを契機に、同社は、侵入を前提にした検知への注力と侵入後の対応の体制を整え、被害を最小化する対策を検討することにした。候補として挙がったのは、エンドポイント系とネットワーク系のセキュリティ製品・サービスだが、同社は前者を選択した。
そして2018年からエンドポイントで侵入を検知し、脅威に対応するためのEndpoint Detection and Response（以下、EDR）製品を探すことになった。

ワンパッケージで全セキュリティ機能を提供するCrowdStrike Falconを採用

EDRの導入に当たって、竹中工務店はセキュリティ専門ベンダーによる運用アウトソーシングを前提にした。その理由を株式会社 竹中工務店 グループICT推進室 ICT企画グループ 副部長 高橋均氏は次のように語る。
「外部脅威の巧妙化スピードは、もはや一企業で追いつけません。サイバー攻撃の高度化に対応する専門性が必要なため、セキュリティの専門企業に協力を仰ぎました」
そして同社は、グローバルセキュリティエキスパート株式会社（以下、GSX）のセキュリティコンサルティングサービスの提供を受けることにした。GSXはこれまでも長く竹中工務店のセキュリティ対策を支援しており、偽装ウイルスによる診断サービスにも関わっていた。GSXは24時間365日体制で脅威を検知、分析、対処するMDR（Managed Detection and Response）サービスを臨機応変な対応で提供している。

製品として最終的に選ばれたのはCrowdStrikeの次世代エンドポイントセキュリティソリューション「CrowdStrike Falcon」だ。
高橋氏は選択理由について次のように語る。
「CrowdStrikeは、主要調査機関でリーダーのポジションに位置付けられ、高く評価されています。クラウドネイティブのアーキテクチャで、海外拠点に適用しやすい点も高く評価しました。」

さらに、株式会社 竹中工務店のグループICT推進室 ICT企画グループの三宅宗俊氏は、選定理由を次のように付け加える。
「CrowdStrikeは『ワンパッケージですべてのセキュリティ機能を提供する』というコンセプトが印象的でした。セキュリティ分野は次々と脅威が出現するため、対抗策がどうしても“継ぎはぎ”になり、システムが複雑化して運用負荷が高まることを懸念していました。この製品はカーネルレベルでログを一括収集しており、このプラットフォームを活用すれば、資産管理やデバイス制御もやりたい時にすぐ始められる拡張性の高さも評価しました」（三宅氏）

そして2018年後半には、同社全PCを対象にEDR「Falcon Insight」、次世代アンチウイルス 「Falcon Prevent」、セキュリティプロフェッショナルによるプロアクティブな脅威ハンティングサービス 「Falcon OverWatch」の導入を正式に決定した。

後手に回りがちだった対応が、未然防止へと大きく変化

導入決定後、GSXの支援を受けて国内の環境分析を開始し、2019年1月から順次エージェントをインストールした。
現在は、同社1万3500台、海外８カ国の拠点、約2000台への導入が完了しており、引き続きその他の海外拠点、グループ会社にも展開を予定している。

運用サービスを提供するグローバルセキュリティエキスパート株式会社 セキュリティソリューション事業部 事業部長 脇智己氏はこう語る。
「竹中工務店様は作業所、海外など拠点の多彩さが大きな特徴です。特殊なプログラムやソフトウェアを利用されているケースもあるため、お客様環境のナレッジをどんどんためながら、『あ・うん』のサービスを提供するよう心がけています」

導入開始から1年余りが経過した2020年の今、三宅氏はその効果をこう語る。
「運用がきちんと回っていることが何よりです。上がってくるアラートの切り分けをGSXにしてもらい、直ちに対応が必要なものは連絡をもらって、こちらから利用者に知らせるなど迅速にアクションできています。今までは脅威が顕在化しないと対処できなかったために、対応が後手に回りがちでした。どういった動きをしているのか、大きな脅威になる前に分かることが大きな成果です。海外に関してはログを見るすべもありませんでした。今では未然防止へと大きくかじを切れました。非常に満足しています」（三宅氏）

CrowdStrike Falconの導入は、2019年末、Emotetウイルス流行時にも効果を発揮した。
「当社も既存アンチウイルスソフトウェアでは検知できなかったのですが、CrowdStrike Falcon側で止めていました。入れていたことで大事に至らずに済んだため、導入による効果を大きく実感した1件でした」（三宅氏）

今後はCrowdStrike Falconとサードパーティー製品との連携に期待

三宅氏はCrowdStrike Falconが「CrowdStrike Store」でサードパーティー製品との連携を強化していることもメリットと感じているという。クラウドで一括管理されているログが更に活用されることになり、例えば機械学習を用いた行動分析により不正な行動とリスクを検知するUEBA（User and Entity Behavior Analytics）サービスとクラウドで連携することにも期待しているという。
「当社には図面など重要なデータ資産がたくさんあります。従来はセキュリティ上の観点からアクセス権を厳格に設定し、必要なデータが迅速に利用できないケースが少なくありませんでした。UEBAを用いた行動分析が実現すれば、新たな仕組みで情報漏えいを監視しながらのデータの利活用を促進できると考えています」（三宅氏）

高橋氏は今後期待することを次のように話す。「あらゆるデータを蓄積し、建設プロセスで活用することで、抜本的な生産性向上を実現したいと考えています。情報端末やクラウドサービスなど、あらゆる環境でのセキュリティ確保の重要性がさらに増すでしょう。CrowdStrike Falconだけでのセキュリティ確保は難しくなるため、クラウドサービスの進化とともに、クラウドサービス側の連携も加速してもらえればと思います。OSの最新機能なども活用して一層シンプルなセキュリティソリューションを提供してくれることを願っています」

国内外全2万台のPCへの次世代アンチウイルスとEDR展開を完遂しつつある竹中工務店は、どこまでも先進セキュリティの導入に前向きなようだ。

コロナ禍で一変したエンドポイント保護 委託先でのインシデントも発生

マクセル株式会社は、1961年、日東電工株式会社の乾電池、磁気テープ事業部門が独立して誕生した製造事業社だ。これらの製品でマクセルブランドは一世を風靡した。

祖業で築き上げた“技”は、今もアナログコア技術として活きる。これは、アナログとデジタルをつなぎ、さらにデジタル技術だけでは到達しえない、複雑で繊細な領域のモノづくりを意味する。特に、素材を均一に混ぜ合わせる技術、粘着剤や塗料を均一に塗る技術、超精密な金型づくりや精密成形といった固める技術は、他の追随を許さない。これらが、エネルギー、機能性部材料、光学・システム、ライフソリューションとさらに広がった同社の事業セグメントの中で脈々と受け継がれ、社会の課題解決に貢献している。

同社の情報システム部では、グループ会社であるマクセルフロンティア株式会社、マクセルクレハ株式会社と合わせ、オフィス環境に配置された約4,000台のエンドポイント端末をサポートしている。

これまで防御策としては、アンチウイルスソフトを主な施策としてきた。過去にはEDRの紹介を受けたこともあったが、その時はEDRの必要性を認識できていなかった。

しかし、ワークライフバランス重視で働き方が変わり始めていたところへ新型コロナウイルスの感染が拡大。一斉テレワークシフトで多くの社員がオフィスの外で働くようになった。会社のエンドポイント端末を自宅で利用できるよう特別許可を出し、新たに整備しなおしたVPNでオフィス内システムへアクセスできるようにした。

さらに2020年のEmotetの被害拡大のニュースから社内の認識が変わっていった。そして実際にヒヤリハット事件も起きた。2021年に、業務委託先に貸与していたエンドポイント端末が、ランサムウェアに感染してしまった事件だ。この端末は、グローバルIPアドレスが外部から閲覧できる状態だった。アンチウイルスソフトはマルウェアの侵入を検知して止めたのだが、攻撃者が残っていたのだろう、その後アンチウイルスソフトがアンインストールされ、それ以降の侵入状況が分からなかったのだ。幸い削除されたことにいち早く気づけたため実害はなかったが、サイバー攻撃が凶悪化していることを実感した一件だった。

マクセル株式会社 情報システム部 情報セキュリティ課 課長 古原健二氏は、次のように語る。

「2020年当時、『次はゼロトラストアーキテクチャ』という方向性が見えてきました。その中で思い至ったのが、まっさきに強化すべきポイントはエンドポイント端末だということです。実際にインシデントも起こっていたため、水際対策だけではなく、もう侵入される前提で、検知して被害を最小限に食い止める施策への転換が必要でした。」

既存のアンチウイルスソフトにも課題を感じていた。スキャンが走ると端末リソースを消費し、常々エンドユーザーからは不満の声がもれていた。また、これはオンプレミスシステムであり、シグネチャアップデートが必要、バージョンアップ時には社内ネットワークの帯域を占領した。
そして何より、社内ネットワークでの利用を前提としていたため、テレワークなどの利用では端末がリアルタイムに保護されない。これを同社は問題視した。

運用体制を重視しCrowdStrike Falconを選択

エンドポイント端末で行われているふるまいを検知し、何か異常があればただちに対処する。この機能を有したEDR製品の必要性を感じた古原氏は、選定に当たっていくつかの要件を掲げた。

１.動作が軽量であること：エンドユーザーに不満を抱かれないよう、動作は軽量であるほど好ましい。
２.クラウドベースであること：エンドユーザーが社内・社外どこで働いていても、クラウドベースなら常時保護が可能。
３.バージョンアップ負荷が低い：バージョンアップのたびに時間や工数がかかるようでは運用負担が大きすぎる。
４.過検知が少ない：異常へのすばやい対処のため、ある程度の自社運用は必要。しかし負担がかかりすぎるなら、他の業務に支障をきたす。
５.高い防御力：実績での判断。たとえば昨年来、活動を再開したEmotetは完全に止めることができたか。
６.Windows、Mac、Linuxの3OS対応：台数は少ないがデザイン部門でMacが使われており、Linuxはサーバで40台以上存在。

こうした観点で検討を進め、3つのサービスを候補に上げた。それぞれ同じだけ時間をかけてPoCを行ったところ、3サービスとも上記の要件を満たしたという。それでは最終的にどれを選ぶか。ここで定期的にEメール訓練を依頼し、2021年のインシデント調査にも携わったグローバルセキュリティエキスパート株式会社（以下、GSX）の存在が重要な決め手となった。

焦点を当てたのは運用体制である。本番導入後、同社で運用をリードするのは古原氏だった。ただ、昨今のサイバー攻撃は凶悪化している。背後でサポートするセキュリティ専門家の目も必要で、そのサポート役をGSXに託した。外部に“丸投げ”にもならず、マクセルに運用負担がかかりすぎない、同社を主とし、GSXを従とする理想な形での体制構築。それを実現できるのがCrowdStrike Falconだった。

「自社の環境を守ろうというのですから、ここは人に任せるわけにはいきません。自社運用は絶対に必要だと考えていました。 自分達も使いやすい、またGSXもCrowdStrike
Falconに精通していることから安心して選択することができました。またパートナー側より、運用のベースとしてどの製品を選択するかは、現在の脅威だけではなく将来にも関わるとクラウドストライクを推薦されました。」

そう古原氏は語る。導入製品として選んだのは、EDR機能であるCrowdStrike Falcon Insight、次世代アンチウイルス CrowdStrikeFalcon
Prevent、プロアクティブな脅威ハンティングをセキュリティ専門家が提供するCrowdStrike Falcon OverWatchという3モジュール。Falcon
OverWatchを含めたのは、専門家中の専門家といえるクラウドストライクの脅威ハンターから、“マクセルにこういう攻撃が来ている”といった情報をいち早く得られることを期待したからだ。

異常なふるまいを見せていた仮想通貨マイニングツール

導入を正式に決定したのは2021年8月末。翌9月より、まずPC3,000台をターゲットにエージェントインストールを開始した。

現在はさらに導入が進み、マクセル、マクセルフロンティア、マクセルクレハ合わせて、PC4,100台、サーバ250台でCrowdStrike
Falconが稼働する。古原氏は日々、一時間ほどかけてダッシュボードを精査する。気にかかる事象があればGSXに調査を依頼、必要があればエンドユーザーへの問い合わせを行う。

CrowdStrikeFalconの導入によって、エンドユーザーがどこで働いていようとも、途切れることなくエンドポイント端末をモニタリングできる体制が整った。報道で幾度となく取り上げられたEmotetも、マクセルにおいてはインシデントとして上がったことはない。

また、想定していなかった事象も見つかった。あるPCにふるまい異常が検知されたため、パートナーに調査を依頼。その結果、返ってきたのは、仮想通貨のマイニングツールが動いているという報告だった。そのPCのユーザーに問い合わせてみると、Webブラウザのアドインツールは入れたが、それが仮想通貨のマイニングに使われているとは認識していなかった。悪事を働くウイルスではないが、今が油断もすきもない時代であることを物語る一件だ。

2022年5月、香港のグループ会社がエンドポイント端末強化を望み、60台のPCにCrowdStrike Falconを導入した。今後の計画として、マクセルイズミ株式会社への導入も決定している。

今後同社では、日常運用の簡素化、そしてさらなるゼロトラストアーキテクチャの推進に向けて動きを速める。前者では、ダッシュボードを見る時間をもう少し軽減したいそうだ。High、Medium、Lowという三段階のリスクレベルをどう扱うか、GSXとあらためて精査する時期に来ている、と古原氏は語る。

ゼロトラストアーキテクチャという観点では、クラウドの広がりが予想される中、“なりすまし”を防ぐために認証基盤の強化をすべく、近々具体的な実現方法の検討に入るとのこと。マクセルグループは次の段階を迎えた企業情報セキュリティに、どこまでもキャッチアップを続けていく。