見出し画像

会社のITインフラ改革〜EDR導入に向けた作戦〜

この続き。
[2022/11/02] 会社のITインフラ改革〜いろいろな経験〜
https://note.com/itnews_jp/n/na1db5db41743

製造業の情シス一社員。セキュリティソフトは色々と乗り換えた。本当に色々な情報に惑わされながら…。芯が弱いのか。

いやいや、高額物件を導入するために、ゆるやかに予算増額させながら、こんなもんなのかを理解させるための地道な準備期間だったのだ、と言っておこう。そして、タイミングが重なり、都合がよい方面に進んだのは大きかった。全て計画通り(笑)だったりして。

雑談・・・

入社した頃はMcAfee(マカフィー)からSymantec AntiVirus(ノートン)へのウイルス対策ソフトの乗り換え最中だった。その頃、個人的にはMcAfeeの方が良かったなーと思ってがっかりした。McAfee ePolicy Orchestrator(オーケストレーター)といった管理コンソールで一元管理できるのに、何故変えるんだ?と思いきや、そのオーケストレーターによる管理ではなく、コンシューマのソフトで管理されていたのが原因だった。

入社した頃のITインフラは、マネージメントされていない、コンシューマ向け(個人用)のソフトを入れ、PC単位で個別に管理するという、会社なのに個人管理?何この会社、変だよ?イメージが強かった。こんなITインフラが整備されていない環境を絶対変えてやる!と思った最初の思い出だ。

インターネットが接続できない環境でウイルス駆除ソフトの定義ファイルの配布が困難なため、定義ファイルをインポートして運用していたような記憶が蘇った。この定義ファイル適用方法は、手作業という運用障害を克服するため、ファイアウォールをいれ、ネットワークを統合。この定義ファイルサーバーだけインターネットに接続するという環境を入社4-5年後に作った。その環境が2013年に更なる強化し改善した。この環境が現在の基盤になっている。まぁ、機器は更新しているものの、構成は同じだ。

この定義ファイルサーバだけが双方のネットワークにバッチで接続ができた。インターネットはダイアルアップだったかな?また自分専用のインターネットができるPCは用意されず、ヒトがインターネットができるPCまで歩いてインターネットをすると言う、なんとま〜悪い環境。その頃、全社でインターネットができるPCは、20〜30台程度だったのだろうか。2022年今日では、インターネット端末は250台程あるため、全社で900台以上展開に至っている。

当時、勤務先で利用していたノートンは、ウイルス対策だけであって、今のようにランサムウエア対策とかなく、スパイウエア対策もなく、単純なアンチウイルスの対応だった。拠点間の通信速度が1Mbpsあるか無いかの低速通信であったため、PCが多い拠点に定義ファイルだけのサーバを配備し、通信インフラの混線を回避するような運用を開始したのが2003年頃。

拠点に定義ファイルサーバをばら撒く方法は、実は今年の2022年春先まで実施していた。言い換えると、拠点間の通信は、そんなに太く無いからだ。今日においても、最大で30Mで、細い回線は5Mしか無いのかな?まぁ、通信コストをかけていない、いや、かけられないため、このような状況に至っている。

MS Blaster(ブラスター)ウイルス大流行(2003年)、SQL Slammer(スラマー)ワーム(ウイルス)大流行、MyDoom(マイドーム)ウイルス大流行(2004年)とまぁ…、ワーム対策をしなきゃいけないとか、ウイルス対策だけじゃ務まらないセキュリティ脅威に焦り始めた。

ウイルス対策をしたって、PCの脆弱性(パソコンソフトの欠陥)対応を行わないと無理だよ、と訴え続けながら、今にも至って、なかなか改善ができていない。

システム導入失敗の経験

そういう中、Windows updateを効率よく管理できないかと考え、スモールスタートとしてFujitsu Desktop PatrolといったWindows update管理システムを導入した。当時は画期的な製品で、ソフトウエア辞書を持っている製品だ。そのため、Windows udpateだけでなく、脆弱性になりうるソフトのアップデートも提供できる製品だ。しかし、当時のPC環境では、Active Directory (AD)ではなく、PC毎に独自管理であるワークグループ環境での運用では、相当厳しい状況だった。更に言えば、社内運用規則で、ログインユーザーにはPower Users権限での付与であり、管理者権限を与えていないという状況だった。そのため、Windows updateすらできないため、このソフトの展開が行えず、いい値段で導入したにも関わらず、導入失敗という苦い経験をした。環境整備がされていない状況で、便利なツールを入れても運用ができないという、システム導入前にやることはあるでしょ、という後悔しかなかった。

費用を上げながらの更新

ノートンの管理がアプリからブラウザ管理(SEP:Symantec Endpoint Protection)に切り替わった。ただのウイルス対策機能が、スパイウエアとかにも対応するようになった反面、このSEPが古い遅いサーバーでは動作遅延をきたし、運用業務に影響を及ぼした。サーバー遅い、メモリ増設ができないや、リース期間は6年(今は5年で処理)ぐらいもあり、簡単にサーバーを入れ替えすることはできないや、ましてリカバリすらできない。そういう虚しい状況から、サーバのリース満了まで諦めざるを得ないという状況だだった。そういう中、PCの脆弱性を悪用したウイルス感染ニュースをよく耳にするようになった2010年前後。

次に乗り換えたのが、ウイルスバスター。これは非常に良い製品だった。ただ当時の製品群において、スパイウエア対策を行うには、Premiumプランを選ぶ必要があるなど、価格には抵抗のある製品だった。さらに言えば、ノートンからウイルスバスターによって年間4倍値上がった。そして、スパイウエア対策が含まれたPremiumプランだと、更に1.5倍程の費用値上がりという反面、サポートを受ける場合には別途有償とか言われ、サポートは他社の安価な方を利用して、構築作業は地道に自己流で運用した思い出がある。まぁ、これがいいきっかで、構築は自社構築物件が増えてきたのは言うまでも無い。

セキュリティソフト選定例

コンピュータウイルスの脅威がどんどん増し、一方でPCが多くなり、これでは予算が回らなくなるという問題が浮上。また、サポート会社の品質低下でサポート会社との縁を切りたいということから、セキュリティ機能をフルにし、F-Secure(エフセキュア、今ではWithSecureにメーカーが変わった)に乗り換えた。費用的には多少値上がりしたものの、ウイルス対策機能がフルスペックになったという利点が大きい。また、エフセキュアを採用した背景は、ドイツのセキュリティソフトウェア調査会社AV-TEST (https://www.av-test.org/ )や、オーストリアの AV-Comparatives (https://www.av-comparatives.org/)の精度から決めた製品だ。

サンドボックスを入れるにも非常に高価だが、標的型攻撃対策やランサムウェアにも十分対応した製品だ。エフセキュアにはメモリ上で処理されるソフトウエアのサンドボックス機能が含まれていた。2015年、日本年金機構が標的型攻撃に遭い、125万件の年金情報が流出した事件を皮切りに、高度標的型攻撃(APT : Advanced Persistent Threat )が増加した。

管理面・運用面で言うと、このエフセキュアが最高の製品だったと思う。なんでも設定できるという、すごい製品だった。Bitdefender製のエンジンであるAquarius、サンドボックス機能であるGemini等、4種類のエンジンを組み合わされ、しかもPCへの負荷が小さい製品だった。憧れのBitdefender!これは嬉しかった。しかし、2015年のエフセキュアの不祥事によって、この製品を社として使うのはどうなのか、という社内指摘から次の製品への乗り換え検討に入った。

EPP、EDR

2016年頃かな?EDR (Endpoint Detection and Response) や、SOC (Security Operation Center)とかのキーワードが出てきたと思う。EDRとは、ウイルスに端末が感染することは当然とし、それをいかに食い止めるか、という拡散防止が目的だ。このEDRの登場によって、これまでのウイルス対策ソフトがEPP (Endpoint Protection Platform) と言う名前で差別さが図られた。ただ、このEDR、やっぱり理解に苦しむ。膨大な脅威を分析するなんて、情シスで対応するには時間的や専門性に無理があったりする。

けれども常に旬になりそうな話題を蓄積しながら、導入のタイミングを図るのは情シスの役割だ。

今後はMDRが重要視される

これから注目されるようなサービスは、EDRの拡張であるXDR (eXtended Detection & Response)。EDRはあくまでも情報提供にすぎない。それを包括的に対処できるのがXDR。そして、これらを専門家の視点からマネジメンドしてくれるサービスがMDR (Managed Detection and Response)。EDRを入れたものの、もうどうにもこうにも対処できなくなる前に必要になってくることでしょう。

話は戻して、2016年頃、AIセキュリティのCylance(サイランス)を調査していたものの、インターネットありきのクラウドサービスのため、インターネット非接続環境が業務メイン環境の勤務先環境では適合できず、見送りをした。エフセキュアに変わる製品として、結果的には、費用面ではさほど値上がりしないKaspersky(カスペルスキー)を採用した。しかしながら勤務先には、ミスマッチの製品だった。それは、勤務先に配備されたPCは、事務作業用として最低限動く遅いPCを貸与していたためだ。

Kasperskyに切り替えた途端、PCが動かないというクレーム多発。重すぎるという電話の嵐。Kasperskyの考え方は、高性能のセキュリティを提供する代わりに、PCのスペックを上げれば良いね、という考え方の製品のようだ。

Kasperskyの特徴

ただKasperskyは別に精度1位を狙っているのではなく、誤検知を少なく高品質のセキュリティを提供する製品だった。エフセキュアにあったサンドボックスは搭載され、KSN (Kaspersky Security Network) と言う定義ファイルで判断が難しいマルウエアを解析するため、AIと専門家によるデータ分析が行える標準サービスが含まれていた。このKSNをSOC的に利用する場合に、データベースサービスが別途用意されていたと思う。その他、ネットワーク制御的なファイアウォールの一元管理ができるほか、最強セキュリティソフトといって過言ない。

そうそう、PCのスペックを上げて対処すればいいや、と思っていた矢先、2022年初頭、ロシアによるウクライナ軍事侵攻。これも内部監査からの指摘もありつつ、最後のセキュリティソフトと位置付けていたKasperskyの乗り換えを決定づけた。(言い訳か…)

EDRの導入

その前年、2021年夏頃に、Cylance(サイランス)を買収していたBlackBerry(ブラックベリー)と別件(IRM文書あたり)で商談している流れで、EPPであるCylance PROTECTとEDRのCylance OPTICSのPoC(ポック:Proof of Concept:検証)を行なっていたた。

Cylance PROTECTは、インストール時にフルスキャンを行うものの、それが完了すれば、定期的にウイルススキャンは行わない。そしてプログラム実行時にプロセスをスキャンするという仕組みのため、PCへの負荷が小さいことは実証でき、PCへの負荷を大幅に軽減できるというポイントも評価した。更に、EDR(感染後の拡散防止対策)を合わせて管理ができるという名目で稟議をあげ承認をもらった。実に、ノートンを使用していた頃の費用と比べると、約10倍の費用に膨れ上がった。しかし、予算から見ると、とんでもなく価格の開きがあるわけではなかったため、承認された。

Cylanceに切り替えて奇妙な現象が発生した。ウイルス検知続出…
ウイルススキャンが重いため、定時スキャンをしていなかったユーザーが多かったのか?

今後のセキュリティのあり方

2016年頃に調査していた案件が色々あり、ウイルス対策部門においては、SOCは今後の課題であるものの、EDRの導入を実現した。このEDRによって、ウイルス感染予防のEPP、ウイルス感染後拡散対策のEDRの一貫性対策ができるようになった。セキュリティ対策としては、整備されつつも、情シスが嫌われてヒトが入ってこないという問題は私の勤務先だけでは無いようだ。

ヒトが入ってこない世の中、これはもう期待はできない。今後は前述に記載したMDRの展開でEPP/EDRを専門家によって代行してもらう、という、監視増員は不要になる、いわばアウトソース的なサービスを採用するのも一つなのかな、と思っている。言い換えると、SOCやMDRを採用することで、これまでの欠陥である24時間365日でのセキュリティ対応が可能となる。

身近かになったセキュリティ脅威

勤務先で上役ら、最近上がったセキュリティ報道情報を提示し、自社はどうなっているんだ?と脅かされたとか言ってきたりするが、全て想定内であり、2016年以降から対応していると説明している。しかし、セキュリティ設備は万全だが、最終的にはユーザーのセキュリティリテラシーが弱いことが原因で、ウイルス(マルウエアやランサムウエア)に感染することがある、と伝えている。セキュリティリテラシーの向上にはeラーニングで解消できることを伝え、年内にテスト的に展開することが決まっている

まとめ

AIウイルス対策製品にしろ、EDRにしろ、セキュリティの高額投資が実現したわけだが、日々の情報収集の努力は無駄にならないことだ。また、色々なベンダーが提案しているセキュリティソリューションも常にチェックをし、新しいネタ、強化されているようなネタは常に追いかけることが重要だ。また、将来予測される脅威をセミナーを始め、SNSやインターネット情報を参考に幅広い情報取得を行い、地道に対応していくことで、そうなっていきたいなーという目標が地道な努力によって、実現していった、という経験を説明した。

この記事が気に入ったらサポートをしてみませんか?