ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. プラットフォームソリューション事例
  3. 標的型サイバー攻撃対策ソリューション導入事例:日本新薬株式会社 様
ここから本文です。

標的型サイバー攻撃対策ソリューション 導入事例
日本新薬株式会社 様

インタビューを受けた2名の写真。キャッチとして「標的型攻撃への対策を万全にするために、システム強化に加え、24時間の監視体制が必要だと考えました」と入っています。

日本新薬株式会社 情報システム部 情報システム部長 茨山 保隆氏、システム企画課長 角 素成氏に、 NECの標的型サイバー攻撃対策ソリューションを導入した経緯とその効果について詳しく聞きました。

目次

概要

課題背景

  • 新薬に特化した研究開発型の企業として、機密情報の保護が必要
  • 製薬他社や研究機関などと共同研究・開発を行う際に、十分なセキュリティ対策が必要
  • 特定企業・団体の情報詐取を狙う標的型攻撃などの脅威への対応強化が必要と判断

成果

サンドボックス(ふるまい検知)の機能を持つ次世代セキュリティ製品を導入。シグネチャ方式では検出できない、未知の標的型攻撃が検出可能に。

NECのセキュリティ運用監視(SOC)サービス「ActSecure」を導入し、人的監視を強化。
セキュリティアラートを24時間・365日、NECのセキュリティスタッフが遠隔監視。標的型攻撃あるいはそれに準ずる事態が発生したとき、的確に対処行動を取ることが可能に。

月例報告会を通じて自社のセキュリティ状況、ネットワーク利用状況を包括的に把握

導入ソリューション

標的型サイバー攻撃対策ソリューション

事例の詳細

標的型サイバー攻撃対策ソリューションの概要 ─ システムと人的監視の両面を強化 ─

日本新薬では、近年、問題が顕在化している標的型攻撃への対策を強化するためにNECの標的型サイバー攻撃対策ソリューションを導入しました。

今回の対策では「システム」「人的監視(監視体制)」の両面を強化しました。

それぞれの概要は次のとおりです。

システムの強化

シグネチャ方式では検出できない、未知の標的型攻撃を検出できるよう、サンドボックス(ふるまい検知)の機能を持つ次世代セキュリティ製品を導入しました。この製品では、社内で怪しい通信が発生しているとき、それをポート番号やIPアドレスではなく、アプリケーション名を通じて分かりやすく認識することが可能です。

人的監視の強化

NECのセキュリティ運用監視(SOC※)サービス「ActSecure マネージドセキュリティサービス(以下、ActSecure)」を導入しました。これにより、次世代セキュリティ製品が発するアラートを24時間・365日、NECのセキュリティスタッフが遠隔監視し、標的型攻撃あるいはそれに準ずる事態が発生したとき、的確に対処行動を取ることができます。

これら常時対応、緊急対応の他、月に一度、SEが来社してセキュリティ状況、ネットワーク利用状況を説明する定例報告会もあります。

  • SOC:Security Operation Center

標的型攻撃対策を強化した経緯

日本新薬株式会社
情報システム部長
茨山 保隆 氏

日本新薬は、新薬に特化した研究開発型の企業であり、社内には多くの機密情報があります。また製薬他社や研究機関などと共同研究・開発を行う際にも、十分なセキュリティ対策が必要となります。

この前提をふまえ、弊社では従前より各種セキュリティ対策を実施してきました。しかし2014年頃から、それまでの不特定多数を広く浅く狙う愉快犯的な攻撃ではなく、特定企業・団体の情報詐取を狙う標的型攻撃が脅威として顕在化し、実際に複数の企業・団体で被害が発生しました。この外部環境の変化に対応するべく、標的型攻撃の対策を強化することを決め、NECなど数社のSI企業を比較検討しました。

候補企業を精査した際の比較条件(要件)

標的型攻撃対策を依頼するSI企業には、システム強化と人的監視強化の両面で次のような要件を求めました。

システム強化に関する要件

  1. 未知の脅威、既知の脅威の両方に対応可能なこと
    シグネチャで発見可能な既知の脅威、サンドボックスなどふるまい検知を使わないと検出できない未知の脅威、その両方に対応できるシステムを求めました。
  2. ネットワーク利用状況を確実に把握できること
    標的型攻撃を許す原因の一つに、「社内利用アプリケーションによる怪しい通信の発生」が挙げられます。新たに導入するシステムには、社内のどこでどのような怪しい通信が発生しているのかを特定する機能、そして設定によりその通信を禁止する機能があることを求めました。なお怪しい通信の出所については、IPアドレスやポート番号のような判読しづらい数値ではなく、アプリケーション名などを通じて、容易に理解・判別できることを求めました。
  3. 自社のセキュリティ状況について導入前にアセスメントが可能なこと
    セキュリティに限らず、何かの対策を確実に行うには、まず現状を知ることが重要です。標的型攻撃対策においても、具体的な対策に先立ち、まず自社のセキュリティ状況、すなわち現在、怪しい通信が発生しているのかいないのか、発生しているならば、それはどこで、どんな性質の通信がどの程度、生じているのかなどの情報を包括的に事前に把握する必要があります。今回、セキュリティ強化施策を依頼するSI企業には、その脆弱性のアセスメントを、システム導入前(発注前)の段階で提供していただけることを求めました。
  4. 既存のネットワークの設定を変えずに試験導入が可能なこと
    脆弱性のアセスメントは、新システムを社内ネットワークに試験接続して行うことになります。弊社の既存システムおよびネットワーク機器は、外部データセンターに格納されていますが、試験接続の際に、これら既存システムに変更を加える必要がないことを求めました。

人的監視に関する要件

  1. 十分な水準のSOCサービスが提供されること
    標的型攻撃への対策を強化するために、システムだけでなく人的監視サービスが提供されることを求めました。サンドボックスが検出する未知の脅威は、あくまで「脅威の可能性がある」というアラートのレベルに留まります。このアラートを受けた場合、それが本当に脅威なのかそうでないのか、もし脅威だとしたらどの程度の脅威なのか、それにはどう対処するべきなのかを、「直ちに」解析する必要があります。この「アラート発生後の速やかな解析」を実現するには、自社の監視だけでは困難であるため、セキュリティ専門家による24時間・365日体制の監視が必須であると考えました。
  2. 侵入に対し、即時対応できること
    万全の対策を施していたとしても、攻撃者がそれをかいくぐってネットワーク内部に侵入する可能性があります。万が一、それが起きたときに、被害を最小限にするには早急に初動対応を行う必要があります。それを実現するためにも24時間・365日体制の人的監視を提供するSOCサービスが必要だと考えました。
  3. セキュリティログの解析をアウトソースできること
    セキュリティ事象、あるいは事象の兆候を認識するには、アラートおよびセキュリティログの詳細解析が重要です。しかしセキュリティシステムは、少しでも怪しい兆候があればアラートを発するという仕様になっており、システムが吐き出すアラートとログは膨大な量になります。これを自社の情報システム部員だけで日常的に分類、解析することは、専門性と対応時間の両面において困難があります。ログ解析は重要ですが、一方で、生産性向上や業務効率化に直接、資することがない作業であるのもまた事実です。こうした解析作業はやはり専門家にアウトソースするべきだという結論に至りました。
  4. セキュリティ状況の定例報告があること
    セキュリティ状況、ネットワーク利用状況について月次で、ある程度まとまった形の報告があることを求めました。日々のセキュリティ監視をアウトソースするとはいえ、やはり自社のセキュリティ状況は、自分たちで常に包括把握しておく必要があります。それを実現するために、SI 企業には月次の定例報告を行うことを求めました。

以上、システム強化と人的監視強化の両面で各社の提案を比較したところ、NECの提案が弊社の要件を最もよく満たしていたので、これを採用しました。

NECのソリューションは特に人的監視強化の面で優れていました。

NECが提案したサービス内容

項目 内容
稼働監視 一定間隔で、監視対象機器に対する稼働監視を実施
リソース監視 一定間隔で、監視対象機器のリソース情報を収集
一定の閾値を超えた場合に異常と認識
セキュリティ監視

監視対象機器のセキュリティ機能(ファイアウォール、IPS、サンドボックス機能など)で検知したログ・アラームを監視・分析
必要に応じてセキュリティポリシーのカスタマイズを実施

監視通報 稼働監視や、セキュリティ監視で障害や通報すべきアラートを検知した場合、所定の連絡先に通報
月次レポート お客様環境の監視状況をまとめたレポートの作成を実施
定期報告会 定期報告書の内容をご説明する報告会を実施
クラウドログサーバ 個別監視サービスで監視するセキュリティ機器のログを、監視センターが用意するログサーバにて保管

導入ソリューションへの評価

次世代セキュリティシステムは、当初の見込み通り安定稼働しています。標的型攻撃に対応するためのセキュリティレベルは確実に向上したといえます。

ActSecureについては、月次の定例報告会が特に有用であると感じています。自社のセキュリティ現状、怪しい通信の有無、現在のセキュリティトレンド、標的型攻撃トレンドなどについて、SEと対面し報告を受け、それに質問を重ねることにより、自社の現状と外部環境の変化について、幅広く認識を深めることができます。

以前は結局のところ、「対策をしているから自社は大丈夫な『はずだ』」という認識でしたが、今は、自社のセキュリティレベル、ネットワーク利用状況を詳細かつ正確に知ることができます。

現在、標的型攻撃の対策強化を検討している企業に向けて、先行ユーザーとしてのアドバイス

日本新薬株式会社
情報システム部
システム企画課長
角 素成 氏

実際に導入してみて、標的型攻撃への対策には、やはり人的監視サービスが必須だと感じています。また月次の定例報告会により、情報システム部門として「社内への説明責任」を果たすことができるという導入効果も感じています。今後もし、世間で何らかのセキュリティ事件が起き、経営層から「社内のセキュリティ状況はどうなっているのか、現状を直ちに報告せよ」と求められたときでもNECのレポートを基に、正確かつ総合的な報告をすることが可能です。本来はセキュリティにおける24時間監視のために導入したActSecureですが、この「説明責任の支援」は予想外の副次効果でした。

NECへの今後の期待

今回、次世代セキュリティ製品とActSecureを導入したことにより、日本新薬の標的型攻撃への対策はひとまず一定のレベルを確保することができました。今後はSDN(Software-Defined Networking)の導入による、セキュリティ脅威に対応した自動ネットワーク遮断も検討していく予定です。日本新薬は引き続き人々の健康を守る新薬を開発しつづける所存です。

NECにはその取り組みを情報セキュリティの強化の面から後方支援していただくことを希望しています。今後ともよろしくお願いします。

お客様のプロフィール

日本新薬株式会社

本社所在地 京都市南区吉祥院西ノ庄門口町14
創業 明治44年11月20日
創立 大正8年10月1日
資本金 52億円
代表者 代表取締役社長 前川 重信
従業員数 2,011名(平成29年3月末現在)
売上高 987億円(平成28年度)
事業内容 医薬品・機能食品の製造及び販売
  • 取材日時 2017年3月
  • この事例に記述した数字・事実はすべて、事例取材当時に発表されていた事実に基づきます。数字の一部は概数、およその数で記述しています。

ページの先頭へ戻る