ケース スタディ
リログループは従来、エンドポイントのセキュリティ対策に複数製品を導入して使い分けていた。しかしインシデントの原因究明を行う際 に、複数製品にまたがった確認が必要となり、調査に時間を要するという運用管理面の課題を抱えていたという。この課題を解決するため にリログループはエンドポイントに導入していたセキュリティ製品を見直し、これまで導入していたアンチウイルス機能、EPP(Endpoint Protection Platform)機能に加え、エンドポイントの脅威を継続的に監視・対応するEDR(Endpoint Detection and Response) 機能も備えた製品の導入を検討。パロアルトネットワークスのSaaS型エンドポイントセキュリティ「Cortex XDR Pro per Endpoint」 に集約・統合した結果、エンドポイントセキュリティ強化を実現できたという。
概要情報
リログループは、1967年に創業した日本建装株式会社の法人格を継承 し、1984年に株式会社日本リロケーションセンターへ社名変更して設立され た企業。日本で初めてリロケーションサービスの提供を開始し、そこから企業 福利厚生を総合的にサポートする企業へと発展していった。「リロケーション事 業を核とした生活総合支援サービス産業の創出」を目指し、「転勤者の留守宅 管理システム」「企業における福利厚生のアウトソーシング」などを提供してい る。2001年に持株会社制へ移行し、社名を日本リロケーションからリロ・ホー ルディングに変更。2011年には東京証券取引所市場第一部への上場を果た し、2016年に現社名へ商号変更した。現在は、海外赴任者のトータルサポート やリゾート運営など幅広い分野の事業を国内外で展開し、国内外1万社以上の 取引実績を有するなど成長を続けている。
リログループでは、国内の事業拠点に合計約5,000台に及ぶエンドポイント 端末(クライアントPC、サーバーなど)が稼働しているという。転貸による借上 げ社宅管理業務代行サービス、海外赴任者の留守宅管理サービスといった顧 客企業で働く社員の個人情報を取り扱うビジネスを展開していることもあり、 そんなエンドポイント端末のセキュリティ対策にはことのほか力を入れてきた。 「当社ではこれまで、エンドポイントセキュリティ対策に必要な製品をベス ト・オブ・ブリードで機能別に導入してきました。例えば、シグネチャ型のアンチ ウイルスソフトウェアのほかに、EPP機能を備えたパロアルトネットワークスの 『Cortex XDR Pro per Endpoint Prevent』(導入当時の製品名は『Traps』) を長年にわたって運用していました」(工藤氏)
ところが、このように複数製品を導入してきたために、次第に課題を抱えるよ うになったという。
「セキュリティインシデントが発生した際、その原因究明を行うために複数製 品にまたがって確認しなければならず、調査に時間を要するなどセキュリティ運 用面に課題がありました」(工藤氏)
こうした課題を解決するために、リログループでは既存のエンドポイントセキュ リティ製品を全面的に見直すことにした。
「アンチウイルス機能、EPP機能に加え、エンドポイントの脅威を継続的に監 視・対応するEDR機能を備えた単一のエンドポイントセキュリティ製品に集約し、 セキュリティインシデントが発生しても一目で原因を突き止めることができるよ うにしたいと考えました」(梅原氏)
リログループがエンドポイントセキュリティ製品の刷新を検討し始めたの は、2021年1月のこと。複数のエンドポイントセキュリティ製品を候補に挙げ、お よそ2カ月かけて入念に比較検討を実施した結果、これまで利用してきたパロア ルトネットワークスのCortex XDR Pro per Endpoint Preventから「Cortex XDR Pro per Endpoint Pro」へとアップグレードすることを決断した。
「Cortex XDR Pro per Endpointは、既存のPreventからProへアップグ レードするだけで、エンドポイント端末に導入済みのエージェントをそのまま利 用しながらEPPとEDRを統合して運用できるようになるなど、導入が非常に容 易です。また、従来のシグネチャ型アンチウイルス機能を、Cortex XDR Pro per Endpointエージェントへ実装されているサンドボックス「Wild Fire」で代 替する事で、エンドポイントセキセキュリティ製品を一本化できるほか、脅威と思 わしき事象が発生した際の原因や挙動を詳細に調査・究明・確認できます。さらに NDR(Network Detection and Response)機能を導入することで認証を 含めたセキュリティ強化が実現できる拡張性を備えていることも導入の決め手 になりました」(梅原氏)
「パロアルトネットワークスは、米調査会社ガートナーが発表したマジッククア ドラントにおいてリーダーとして高く評価されています。クラウド上の仮想環境 で未知の脅威を分析・判定する『WildFire』が提供され、高い脅威対応能力が期 待できたことも、パロアルトネットワークスのCortex XDR Pro per Endpoint を導入することにした理由です」(工藤氏)
リログループがCortex XDR Pro per Endpointへのアップグレードを決 定したのは、2021年3月のことだった。それまでに一部のエンドポイント端末 を用いてPoC(概念実証)を実施し、必要とする機能が問題なく利用できること を確認。4月から開発・設定・テストを実施し、リログループの国内拠点・テレワー ク環境で稼働する約5,000台のエンドポイント端末(クライアントPC)に展開し て、6月から本番運用を開始した。
「導入作業を進める中で、インシデント対応のためのログ分析において、各種 ログが大量に検知され、必要なログを発見することが難しいといった苦労もあり ましたが、パロアルトネットワークスの技術担当者にも相談し、適宜チューニング を実施することで何とかスケジュール通りに運用を開始することができました。 技術担当者から製品に関して詳しく解説してもらったり、運用管理のトレーニン グについての案内があったりなど、導入後の万全なフォローにも満足しています」 (梅原氏)
運用開始後は、社外に持ち出して利用するテレワーク端末のインシデント対応 も可能になり、1日あたり数件のアラートを検知するなど、確実にエンドポイント セキュリティ強化を実現できているという。
「インシデントが発生した際にも、脅威の影響範囲がCortex XDR Pro per Endpoint上で容易に特定できるため、セキュリティ監視業務の負荷は大幅に 軽減されました。また、Cortex XDR Pro per Endpointでは、管理サーバー とのバージョン互換性の管理や無駄な追加インストール作業も不要なので、運 用管理業務を効率化できるという効果も実感しています」(梅原氏)
リログループでは今後、Cortex XDR Pro per Endpointをサーバーにも 展開し、シグネチャベースのアンチウイルスからの脱却を目指して置き換える 予定だ。またここ最近、攻撃が急増している海外子会社への展開も視野に入 れており、グループ全社のセキュリティレベル向上・均一化を図っていく方針だ という。
さらに同社では、脆弱性スキャンによるエンドポイント端末の脆弱性管理、ハッ シュ値による端末上のファイル検索・削除、端末情報を記録して現在と過去の状 態を比較する資産管理機能などを備えたCortex XDR Pro per Endpoint のアドオンモジュール「Host Insights」の導入も検討するなど、引き続きエン ドポイントセキュリティ対策の効率的な運用管理を目指した取り組みに力を入 れていく方針だ。このほか時期は未定とするものの、将来的にはCortex XDR Pro per TBを活用してNDRやID認証を含めた相関解析を検討している。
Cortex XDR Pro per Endpointは、リログループのエンドポイントセキュ リティ対策をこれからも支え続けていくことだろう。