セキュリティ対策でモノを言うのは「スピード」、20秒以内で検知可能なローソン：セキュリティ対策事例インタビュー（1）（2/2 ページ）

「脅威の侵入を100％防ぐのは不可能」という前提に立った新たなセキュリティ対策を模索してきたローソン。脅威の検知と一次対応を速やかに実行し、迅速なインシデントレスポンスを支援するツールを導入した結果、20秒以内に社員が利用する約7000台のPCから感染端末を検索する体制を立ち上げた。

[聞き手：＠IT編集部，＠IT]

ツールの活用で、特定の人に頼り過ぎない対応体制を実現

　こうしてローソンでは、インシデントを防ぐための対策だけでなく、脅威がすり抜けてきた場合に備えた体制を整えることができた。サンドボックスで未知のマルウェアを検知したら、攻撃の兆候や痕跡に関するIoC（Indicators of Compromise）情報をTanium Endpoint Platformで検索して感染端末を特定。侵害が広がる前に食い止める、といった形で運用している。

　Tanium Endpoint Platformを導入したことで、別のメリットも得られたという。ローソンは、いわゆるCSIRT（Computer Security Incident Response Team）を設けるのではなく、IT部門などを中心にセキュリティ対応体制を整えている。サイバー攻撃は今後も引き続き高度化し、増えてくると予想できる。限られた人数で対応するには、作業を効率化し、かつ属人性を排除する必要がある。

　「攻撃者の志向は、愉快犯から本気の犯罪へと変わっている。クラウドの登場によって、攻撃者のピッチはさらに上がった。さらに頻度が高まっていくことを考えると、対抗する技術を採用し、われわれの日々のセキュリティ業務の生産性とスピードを上げていかなければならない」

　Tanium Endpoint Platformを活用して感染端末の特定と調査といった作業を効率化できたことに加え、「フライトレコーダー」のような形で脅威がどこから入り込み、どのように拡散したか、経緯を確認できるようになったのも、効果の1つという。

　高原氏は、セキュリティ人材が限られる中、特定の人に頼り過ぎずに対応できる体制を作っていくことも課題の1つだと述べた。「ただでさえセキュリティ人材は不足し、ユーザー企業が確保することは困難になっている。さらに一口にセキュリティといっても、エンドポイントやネットワーク、ファイアウォールなど幾つかのスキルセットがあり、全てを備える人材を確保するのは至難の業だ。仮に、フォレンジックができる人が加わってくれたとしても、チームから離れてしまうと何もできなくなる。なるべく簡単な仕組みで、誰かに依存することなく対応できるようにしたかった」

---

　ローソンではTanium Endpoint Platformを活用し、ログ解析やオペレーションの経験値を積みながら、対応体制を強化している。次に視野に入れているのは、インシデントレスポンスを「自動化する世界」だ。

　「最後に帰着するのはスピード。意思決定を下すにしても、対策をとるにしても、スピードがモノを言う。今はまだ、最後は人が対応している。いずれはいろいろなセキュリティインシデントに対し、人工知能や機械学習を活用して自動的にアクションが取れないかと期待している。攻撃者のスピードが上がる時代になるならば、企業側も新しい技術を活用してピッチを上げ、人に依存せず対応できるようにしていきたい」