photo

次世代SIEMプラットフォームでアラート監視や
相関分析を自動化セキュリティ運用負荷を
軽減して業務の属人化も解消

鴻池運輸株式会社様は国内・国際物流をはじめ、鉄鋼・食品などの製造業界向けや医療・空港などのサービス業界向けの請負サービスなど、多角的に事業を手掛ける1880年創業の総合物流サービス企業です。同社ではサイバーレジリエンスを高めるべく、複数のセキュリティ対策ソリューションを導入していましたが、そこから発せられる大量のログを分析し、対応するまでに多くの工数を費やしていました。
そこで、次世代SIEMプラットフォーム「Exabeam」を導入。アラート監視や相関分析の自動化を推進し、セキュリティ運用負担の軽減と内部不正対策の強化を実現しました。

課題

攻撃を未然に防ぐとともに、有事の際にも被害を最小限に抑えて早期の復旧を図るサイバーレジリエンスも考慮したセキュリティ対策の強化が急務。

複数のセキュリティ対策ソリューションから発せられる、大量ログの分析作業を少人数で対応しており、作業も属人化。

効果

  • 自動化による負担軽減

    ログの相関分析を自動化してセキュリティ運用負担を軽減するとともに、UEBA機能を活用することでユーザーの異常な振る舞いを動的に識別し、内部不正対策も強化。
  • セキュリティ高度人材の有効活用

    アラート監視やログの相関分析といった業務の属人化を解消してSOCチームに移管することで、高度な知見をもつ人材をより重要なセキュリティ戦略の立案などの業務にシフト。

セキュリティ対策の取り組み状況は?

佐藤氏

国内外のグループ全体を包括したセキュリティ対策を施し、攻撃を未然に防ぐことは当然のこと、有事の際にも被害を最小限に抑えて早期の復旧を図ることができるサイバーレジリエンスの能力を高めることを目指しています。
ICT推進本部が発足した2018年に私は鴻池運輸に入社していますが、率直なところセキュリティ対策はかなり遅れている状況でした。そこで、セキュリティ対策全般の見直しが必要と考え、まずは外部からの攻撃に対する防御を強化するため、EDRやクラウドプロキシ、IDaaSなどの導入を進めてきました。さらに近年は、内部不正対策にも注力してきています。
こうしてセキュリティ対策の骨組みはかなり整ってきたことから、これらのセキュリティソリューションを最適に運用できるようSOCの体制を整え、また、有事の際の対応に向けてCSIRT構築を進めています。

Exabeam導入前の課題は?

戸松氏

セキュリティ対策が強化されたのは良いことなのですが、一方でそこから発せられる大量のログを分析する工数が相乗的に増加しました。
何らかのアラートを検知した際に、複数のソリューションからばらばらに上がってくるログを時系列で突き合わせ、相関関係を読み解かなければ、確かな根拠に基づいて原因にたどり着くことができません。ほぼ手作業となるためいつも大変な苦労をしてきました。

佐藤氏

ログの相関分析を行える高度な知見とスキルをもったセキュリティ人材は、部内でも実質的に戸松一人しかいなかったため、負荷が集中してしまったのです。
そこで、2023年9月、次世代SIEM(Security Information and Event Management)ソフトウェアのExabeamを導入しました。実はExabeamについては以前から強い関心をもっており、情報収集を進めていました。そうした中、さまざまなプロジェクトでお付き合いのあったNTTデータ関西でも取り扱っていることがわかり、ご提案を依頼して、最終的に導入を決めました。

Exabeam選定のポイントは?

佐藤氏

SIEMの分野では他にも著名なソリューションが数多くありますが、比較検討したものはどれも設定や運用が複雑なため、どのツールも使いこなすには相応の知識が必要で、負担軽減や属人化の解消にはつながらないと判断しました。
これに対してExabeamは大量のログから瞬時にユーザーおよび機器単位のタイムラインを作成し、ログの相関分析を自動化するため、誰でも即座にアラート発生時の原因特定にあたることができます。
さらに Exabeamは、AIを活用したUEBA(User and Entity Behavior Analytics)の機能を搭載しており、ユーザーの通常の振る舞いと異常な振る舞いをスコアリングして動的に識別し、タイムラインに組み込んで独自のルールで監視します。これによりセキュリティ運用負担を軽減するとともに、内部不正対策も強化できることが決め手となりました。

NTTデータ関西のサポートにおいて期待していたことは?

戸松氏

当社は以前からもNTTデータ関西と付き合いがあり、多くのベンダーを取りまとめてプロジェクトを円滑に進捗させていくファシリテーション力の高さに、個人的にも高い信頼をおいていました。
そんなNTTデータ関西の強みが、今回のExabeam導入でも発揮されています。Exabeam社の日本法人であるExabeam Japan、日本国内におけるExabeam製品の総代理店であるマクニカとの強力なパートナーシップに基づき、常に3社が一体となった情報提供やサポートを受けられるので安心です。当社からの一次的な問い合わせの窓口はNTTデータ関西となりますが、実際にかなり高度な技術上の質問を投げかけた際にも、3社の見解を取りまとめた回答をスピーディーに返していただいており、とても助かっています。

Exabeamの導入効果は?

戸松氏

Exabeamは2024年1月1日より正式運用を開始しており、現時点ではオンプレミスのActive Directory、Azure AD、ZscalerのZIA(クラウドプロキシーサービス)/ZPA(リモート接続サービス)、CrowdStrike、Oktaといったセキュリティ対策ソリューションのほか、Microsoft 365などのSaaS型アプリケーションからもログを取り込んで監視や分析を行っています。
Exabeamの導入を機に、多岐にわたるセキュリティ対策ソリューションやアプリケーションから大量のログを収集するようになり、アラート監視や相関分析といった作業の絶対量が増えているため工数を単純に比較することはできません。
ただし、そうした作業は現在までに、すべてSOCチームに移管されています。これに伴い私個人の作業工数はゼロになりました。

佐藤氏

Exabeamの本質的な導入効果は、単なる工数削減ではありません。私たちが最大の成果と考えているのは、ログ分析の属人化を解消し、負担の重い作業から解放できたことにあります。セキュリティ対策には決して終わりはなく、ますます巧妙化・悪質化していく攻撃者の最新動向を常にキャッチアップしながら、先手を打った見直しを図っていかなければなりません。そういった今後のセキュリティ戦略の立案などの重要な業務に注力するリソースを割くことが可能となりました。

セキュリティ強化に向けた今後の展望は?

戸松氏

Exabeamにより大量ログが一元管理され監視業務を移管できたことで、SOCチームの中にもログデータの相関分析や、セキュリティインシデント発生時の原因特定など、高度な知識やスキルをもつ人材が育ちつつあります。
今後に向けても実践的なノウハウをもったセキュリティ人材を社内でさらに増やし、層を厚くしていきたいと考えています。

佐藤氏

グループ全体の経営視点から目指しているのは、サイバーレジリエンスの強化です。SOCの強化と共にCSIRTの構築も進めており、KONOIKEグループのどの拠点が攻撃を受けた際にも迅速に対処できる体制を、できるだけ早期に確立したいと考えています。
その意味でもICT推進本部として取り組まなければならないセキュリティ関連の課題や対策は、まだ数多くありますので、NTTデータ関西、マクニカ、Exabeam Japanの3社には、引き続き手厚いサポートを期待しています。