社内PC2万台へのXDR展開を4カ月で軌道に
担当者が赤裸々に語る成功したポイント3つ

　ランサムウエアをはじめとする昨今のサイバー脅威は、常に巧妙な手段を駆使して攻撃を仕掛けてくるため、どれだけ厳重な対策を施したとしても、防御をすり抜け、社内に侵入してくることがある。

　そこで侵入した脅威を早期に検出し、対処することを目的としたXDRが注目されている。だが、その効果的な活用は容易ではない。導入はしたものの「XDRを使いこなす専門知識とスキルに不安がある」、「24時間365日体制で監視できる体制と人員が不十分」、「XDRから発せられる大量のアラートへの対応に疲弊している」など、様々な課題が顕在化しているのが現実だ。

　そうした中、社内の2万台以上に及ぶPCへのXDR導入をわずか4カ月で軌道に乗せたのが、キヤノンマーケティングジャパンだ。

　同社の田中 太郎氏は、その成功のポイントについて「体制」「性能」「運用」の3点を挙げる。

　まず1つ目の「体制」について、田中氏は次のように語る。「ベストなのは内製化と考えています。セキュリティーのアラートやインシデントに対して、迅速に対応できるからです。しかし、実際に内製化できる組織の資源や体力が不足している場合もあります。専門知識を持った人材も限られており、仮に時間をかけて育成してもセキュリティー専門職は人気があるため、転職リスクもあります」。

　こうした総合的な判断から、同社は最終的にXDR監視運用のアウトソーソングを選択したという。「XDRの日々の運用は専門家に任せ、しっかり連携をとることで、情報システム部門は新たなセキュリティー対策の企画や構想策定など、本来のミッションに専念することができる」と田中氏は強調する。

　数あるサービスの中から採用したのが、ESETが提供している監視サービス型XDRソリューション「ESET PROTECT MDR」だ。

　「ESET PROTECT MDRは、高度な専門知識とスキルを持ったESET認定セキュリティーエンジニアがXDRを24時間365日体制で監視運用するため、お客様は本来の業務に集中できます。また、夜間休日を含め日本語で対応できるサポート体制を整えているため、万一インシデントが起こった場合でも安心です」とイーセットジャパンの真鍋 敏氏は説明する。

　2点目の「性能」について、キヤノンマーケティングジャパンが入念に検討したのは、侵入した脅威の検知性能だ。

　導入チームのセキュリティーに関して高い専門知識をもつメンバーがESETの製品担当者に直接コンタクトし、脅威検出の技術的な仕組みについてヒアリングを行った。

　「このやり取りを通じて、例えばプロセス間通信のログを総合的に判断し、不審なコマンド実行などの動作を検出してアラートを発する仕組みなどを確認。技術的にも腑に落ちたことから、ランサムウエア対策として有効だと判断した」（田中氏）

　ただし、上記のようなXDRの処理があまりにも重すぎて、社内IT環境に影響を及ぼしてしまうのでは意味がない。特にキヤノンマーケティングジャパンでは社内で2万台を超えるPCを運用しており、しかも週明け月曜日の朝などは多くの従業員が一斉にログインすることから大量のデータ通信が発生する。そこにXDRの処理が重なることで、ネットワークに過大な負荷がかかるおそれがあった。

　この懸念を払しょくするため、キヤノンマーケティングジャパンはESETのXDR機能の事前検証を実施。実際にPCやネットワークにかかる負荷を測定した。

　「実測値から明らかになったのは、ESETのXDR機能はESETウイルススキャンと同じプロセスで動作しており、各PCの負荷はCPU使用率が0.1％、メモリ使用量も1％以下という軽微なものであることです。ネットワークにかかる負荷も同様に非常に軽微で通信を圧迫することはなく、安心して導入を進めることができました」（田中氏）

　なぜESET PROTECT MDRは、「侵入した脅威の高度な検知性能」と「社内IT環境に及ぼす影響の低減」という、通常では相反することになる2つの条件を両立してクリアできるのだろうか。

　「ESET PROTECT MDRでは侵入後対策のXDRはもとより、以前より定評のある侵入前対策のエンドポイント保護のサービスも併せて提供しています。これによりゼロデイ攻撃や未知の脅威からの保護に有効なクラウドサンドボックスも利用可能です。要するに侵入前の防御をしっかり施すことで、侵入後の対応を最小限に抑えているわけです。結果として、お客様側の業務に影響を及ぼす運用負荷を低減しています」と真鍋氏は説明する。

　最後に3つ目のポイントが多くの企業が懸念事項に挙げる「運用」だ。これについてキヤノンマーケティングジャパンが重視したのは「持続可能なサービスかどうか」である。

　XDRの運用は容易ではなく、冒頭でも述べたように予想以上に大量発生する日々のアラートに疲弊している企業は数多い。そんな状況で運用が続くはずがない。

　この課題に対してキヤノンマーケティングジャパンは、XDRの適切なルール設定を行うことで発生するアラートの劇的な抑え込みに成功した。しかも、この初期段階のチューニングに要した期間は、わずか1カ月強だという（図1）。 　その後の安定的かつ負担の少ないXDRの運用を支えているのは、ESET独自のインシデントクリエーターと呼ばれる機能である。

　「インシデントクリエーターは、AIを活用することでXDRが検知した不審な挙動の95％を短時間でグループ化し、アラートの対処にかかる時間を大幅に削減します。エンジニアによる確認が必要なインシデントも大幅に削減されるため、アラートの対処に追われて本来のセキュリティー監視がおろそかになることはありません」（真鍋氏）

　実際、キヤノンマーケティングジャパンにおいて“アラート疲れ”は生じていない。「XDRの運用負担は最小限に抑えられており、大量アラートの波に飲み込まれて重大なインシデントを見逃してしまう弊害もなくなりました」（田中氏）。

　加えてキヤノンマーケティングジャパンが、XDRの運用面でESET PROTECT MDRを高く評価するのが、脅威検出後の対応である。脅威の検出までしか行わないマネージドサービスも少なくない中、同社では検出後の対応を確実にできるサービスを求めたのだ。

　「ESET PROTECT MDRでは、検出した脅威に対してレベルに分けた運用ルールを設定することが可能です。この機能を利用し、例えば高リスクのランサムウエアを検出した際に当該PCを即座にネットワークから遮断するなど、ラテラルムーブメント（感染の広がり）防止に効果を発揮しています」（田中氏）（図2） 　そしてキヤノンマーケティングジャパンにおけるESET PROTECT MDRの運用は既に1年以上を経過し、すっかり浸透しているという。

　「定期的またはリアルタイムに発行されるレポートにより、エンドポイント側の攻撃状況をつぶさに把握できるようになりました。また、サービス自体も検知条件やルールを日々アップデートしており、常に最新セキュリティー対策に追従した進化を実感しています」と田中氏は、ESET PROTECT MDRに対する信頼を示す。

　一方で真鍋氏も、「今後に向けてAIを活用したインシデントの視覚化や解析の支援、SIEMやOpen XDRとの連携などを実現していく計画です」と語り、ESET PROTECT MDRの機能やサービスのさらなる強化に尽力していく考えだ。