導入事例Case
株式会社NTTデータ グローバルソリューションズ
東京都中央区築地5-6-4 浜離宮三井ビルディング 4F
URL:https://www.nttdata-gsl.co.jp/
セキュリティ汚染のリスクに対してはリアルタイム性が重要です。セキュリティ傾向の検知には、複数システムにまたがってアラートを出すことができるStellar Cyberが最適です。
株式会社NTTデータ グローバルソリューションズ 馬場 順一郎 様
1. Stellar Cyber導入企業
NTTデータ グローバルソリューションズ(以下 NTTデータGSL)はどのような企業ですか
株式会社NTTデータ グローバルソリューションズは、日本企業のグローバル展開に伴うシステムのグローバル化需要の拡大に対応するため、2012年7月に設立されました。NTT DATAのSAPグローバル体制とともに、国内のグループ会社に分散していたSAPソリューション、業務ノウハウの一体化を図り、SAP ERPシステムの導入から保守運用、拡張開発支援など、多岐にわたるサービスをワンストップで提供し、NTT DATAにおけるSAP事業の中核会社として、企業の戦略的な事業経営をサポートしています。
2. 導入
2023年現在のStellar Cyberによる監視構成を教えてください
NTTデータGSL はStellar Cyberを基幹部分の監視に導入しています。Stellar Cyberによるサイバー攻撃監視対象は、(1)Azure・AWSなどのIaaS基盤、(2)基幹システムなどのSaaS基盤、(3)NG-SWGと統合NW-F/Wの社内ネットワーク基盤、(4)EDRによるエンドデバイス環境、これら(1)から(4)が主な監視対象です。 基幹ネットワークに流れる情報、各種本番システムで動いている情報、クライアントからの操作情報、これらの挙動をStellar Cyberで分析監視しています。
Stellar Cyberで診たいポイントは
初めてStellar Cyberデモを見たときに、Stellar Cyberダッシュボードパネルには、危ないセキュリティアラートの発生母数を表示できる点に驚きました。 導入の当初はNDRの代わりにStellar Cyberが利用できるだろうという思いでスタートしました。 弊社はIaaS基盤とSaaS基盤をプラットフォームとして利用しているので、ネットワークの中から外に出る通信パケットが非常に多いです。統合NW-F/WのネットワークGWアプライアンスに10G光回線を接続しているので、全部のパケットがそこを通る構成にしています。そこを通るログを診ても莫大過ぎて把握できません。NDRの観点から「この部分を分析できないか」とStellar Cyber導入を考え始めました。
Stellar Cyber製品説明を初めてうけた時に、そもそもXDRとはどんな製品なのか。「NDRとかEDRとかの既存のDRサービスを統合分析できるモノか」と理解しました。
充分にセキュリティ対策された環境においても尚、どこに穴があるのか見極めたかった・・・のですか(Pentio)
Stellar Cyber導入前は、統合NW-F/W・EDR・NG-SWG・端末資産管理ツールそれぞれがありました。当然弊社もセキュリティ監査はありますので、そのためにそれぞれのログを分析して調べ監査対応しています。それがたいへんだからSIEMであるSumo Logicに送ってリアルタイムに可視化して視えるようにした。可視化して判った事はログデータが莫大過ぎる。「ものすごい量の通信ログであり、人間の目で視るというのは、ひとり二人でできるのか」と気づきました。 NTTデータGSLの場合は、プロジェクトが始まったり終わったりが頻繁です。ここ数年間は社員500名の他に、外部のプロジェクト共同作業者が百人単位で入れ替わります。それに伴い百台単位で端末が入れ替わります。当然、お客様先での業務やリモートワークもしているので、9割の社員がリモートアクセスを利用しています。セキュリティ監査としてログを調査したところで、入れ替わる社員と端末に対し、何をしていたのか把握することはたいへんです。
ところが、セキュリティ汚染しているリスクは話が別です。発生した瞬間に対応しないとなりません。セキュリティ汚染は、昨今日本において多くの企業で発生してしまっています。リアルタイムで365日24時間対応しなくてはいけない課題でありますし、対応する為には分析することも必要です。その結果、検知と分析に人手が足りない。知識と技術もおいつけない。セキュリティ傾向の検知にはStellar Cyberが最適と判断しました。
汚染のリスクには、リアルタイム性が重要ですか
我々が寝ているあいだでも何かのセキュリティインシデントが起きたら停めないといけません。1時間2時間放っておいただけでもたいへんな取り返しがつかない事になる。NTTデータグループ全体としても非常に強いリスクとして懸念されており、施策や監査は厳しく要求されています。
セキュリティのリスク変化に対応できるサービスは何なのか
「ネットワークだけではなく、PC操作だけなく、アンチウィルスだけでなく、EDRだけではなく、それぞれの所から何かが怪しい」情報を元に抑えなくてはいけません。
F/Wや、EDRや、アンチウィルスや、資産管理ツールは、人間が考えた「この閾値」を超えたらダメというアラートは出せます。それでは、その閾値が正しいのか。
各セキュリティシステムそれぞれで困ることは
セキュリティ対処を例に説明すると、例えばネットワーク機器に対してACLを書く、IDaaSシステムに対してユーザーを無効にする、システム管理者に警報を出す、このような複数システムを跨がる連携が必要ですね。このようなセキュリティシステム間のシステム連携を実現することは、セキュリティシステム単体ソリューションでは難しい。 このシステム連携がStellar Cyberの強みですね。 Stellar Cyberデモを見たときにStellar Cyberダッシュボードパネルには、危険なセキュリティアラートの発生母数を表示できる点に驚きました。
3. 内容
Stellar Cyberの監視対象は3つですね。このうちの(1)(2)での効果を教えてください
(1)ネットワーク
(2)端末(資産管理ツール)
(3)クラウドサービス
一般的に、ネットワークと端末と通信先の3つを監視することは、セキュリティ把握において当然です。
(1)ネットワークの監視
弊社は仕事の都合上、システムを使う仕事であり、リモート業務があり、さらに世界中で活動しなくてはならない為、ネットワークこそが業務遂行に重要であります。このため、セキュリティは「ネットワーク汚染が最も警戒するところ」であります。ネットワーク構成は通信が集中するところでトラップできるようにして管理ポイントを集約して管理工数も下げたかった。その代わり処理能力が要求されるので、かなりハイスペックなモノを基幹では利用する構成にしています。 また、中から外に出て行く通信が非常に多いので、統合NW-F/Wのネットワーク機器でIPS/IDSすれば良いのではないかと言う声もありましたが、これを実施すると非常に遅延する。また、ひとつのベンダーだけでやると限界がありリモート業務が始まると管理ポイントがボトルネックになる心配があった。そこで、SaaS型のWeb Security GatewayであるNG-SWGを利用してWeb Proxyのように利用しています。
セキュリティの安全をどうやって把握するのですか
これまでは「セキュリティを脅かす予兆」を検知することはできなかったです。それはNG-SWGでも、EDRでも、NG-マルウエアでも、統合NW-F/Wでもわからないのです。Stellar Cyberなら未来のセキュリティの安全を把握できます。
(2)端末(資産管理ツール)の監視
端末の操作を、資産管理ツールで監視しています。そのPCで一日どんな操作が行われていたか記録して追いかけることができるツールとして、弊社では操作ログの突合に使っています。
日本製の資産管理ツールを、米国Stellar Cyberで監視できるようにするのはどうやって実現したのですか
ペンティオさんで端末資産管理ツールをStellar Cyberで監視できるようにしてもらいました。端末資産管理ツールログをパースしてStellar Cyberで分析できるデータ形式に成形して、Stellar Cyberでログ分析できるようにしてもらいました。さらにStellar CyberのAIでログ分析する処理を追加して、PC端末操作をセキュリティ分析に加えることを実現します。
端末資産管理ツールにレポートはあります。それでもリアルタイムで把握することは難しいです。端末資産管理ツールの通知発報は閾値アラートのメールベースとなります。このため日々移り変わっていくセキュリティ基準を閾値で判定することは難しいですね。
弊社の場合は、端末資産管理ツールログをSIEMであるSumo Logicで、分かり易く見える状態にしています。その結果、端末資産管理ツールは端末操作の細かいデータがとれている事が判りました。そこで、Stellar Cyberに端末資産管理ツール端末操作ログをいれ端末アクティビティが視えることが非常に大きいです。
4. 効果
NTTデータGSLで過去24時間のStellar Cyberによる監視状況を教えてください
Stellar Cyberによる監視数分子表記は「0」であり、重大なインシデントは1件も発生しておりません。
| 最初の試み | 0/77 |
|---|---|
| 永続的な足場 | 0/69 |
| 探査 | 0/3 |
| 伝搬 | 0/15 |
| 浸透と影響 | 0/2 |
トップインシデントをみてみますと、社内ドメインへのアクセスでインシデントが発生しているように見えます。このドメインは社内からのみアクセスできる、内部ドメインである為にStellar Cyberにとっては不明なドメインへの社内多数端末からのアクセスやデータ転送に見えます。インシデントとして検知して、管理者に気づきとして通知しています。
このインシデント発生を、アクセスする端末のIPアドレスを表記する構成図を自動生成して、管理者に分かり易い状況説明図として表示する機能を持ちます。
Stellar CyberのUI使い勝手はどうですか
通信元と通信先がどこなのか、それは集中しているのか分散しているのか、ひと目で判るビジュアルで把握できるので分かり易いです。このようなUIのシステムは非常に珍しいです。 画面右部には、インシデントを構成する各アラートを分解して時系列に表示していますので、どのような脅威が・どこから何処へ・どのような順番で発生しているのか、わかりやすく順番に読み取ることができます。 情報システム部門のセキュリティ担当者以外でも、パッと見て分かり易いです。 詳しいアラート内容詳細の説明は英語表記が多くなってくるので日本語に対応すると尚良いとおもいます。何が起こっているのか、パッと見て「どのIPから来ているか」「どのIPへ通信をおこなっているのか」どのような通信で発生しているのか表示できるので、たいへん分かり易いです。
Stellar Cyberを導入する以前だったら、端末資産管理ツールログをみて、ネットワーク通信経路を確認して、ネットワーク機器ログを確認してと、それぞれの機器のログを確認してつなぎ合わせて把握しなくてはなりません。これにたいへん手間がかかります。これが一画面で表示されています。さらにスコアです。対象が何なのか・何故に該当事象を検知したのか・どのくらいの危険度なのか、スコアとして判定してくれます。ここを見ていれば、一連の流れと、状況を把握できるのでたいへん分かり易いです。
Stellar Cyberのスコア値の温度感がわかりました。 自分達のネットワークにおいて、この数値になってくると危ないと判断に活かせます。弊社の場合「60を超える数値になってくると詳しく調べないと危ないぞ」とわかりました。
さらに3ヶ月の検出状況をご覧いただきます。3ヶ月で3378アラートを検知しています。平均スコアは38でそれほど高くありません
アラート傾向をみてどうですか
私達インフラ管理者はリアルタイムなインシデントの内容が大切な情報です。
ところが、インフラチームの上位管理者や、セキュリティ監査担当者などは、セキュリティ上の見たい観点が違います。彼らは「危ないのか・危なく無いのか、悪くなる傾向なのか・良くなる傾向なのか」を知りたいのです。 ログを入れた結果アクティビティが増えています。「アラートは増えました。しかし、危険度が高くなったのではありません。意味のあるアラートの増加であって、安全性が下がっているのではありません」とStellar Cyberで説明できます。 複数箇所で発生する個々のアラートを、AIで分析しひとつのインシデントとしてまとめる判定を自動的におこなう事で、管理者にとって重要な課題を捉まえることができます。
ダッシュボードについては
全体ダッシュボードでセキュリティ発生の傾向が判る。さらにネットワークのリスクが上がっているのか、クライアント端末でのリスクが上がっているのか、それとも地域のリスクがあがっているのか、という事も把握し易くなっています。
5. Stellar Cyberへのリクエスト
Stellar Cyberにリクエストがあればお聞かせください
Stellar Cyberで見つけ出すアラートひとつ一つに記載されている障害内容の説明は、インフラエンジニアでも詳細に理解できるとは限りません。例えば、全くインフラ知識の無い担当者には難しいところがあります。インフラエンジニアとしては「放っておくとこんなリスクに繋がりますよ」と、次の状況を予見して一緒に提示してくれる機能になるとうれしいです。 さらに、Stellar Cyberから見て「これは危険だ」このため「このような対策をした方が良い」対策を提示してくれるサービスに発展すると尚素晴らしいです。
推奨対策やナレッジベースを参照できるようになるなども良いですね。
本日は、貴重なご意見ありがとうございました
