EDRのアラート多発(誤検知/多検知)が不安事例:大学生協事業連合 関西北陸地区様
学校・教育
情報業務課:泉谷氏
EPP+EDRの一括管理により
運用負担を軽減しながらセキュリティ強化を実現
課題
- 遠隔拠点のエンドポイント端末を
監視できていない - 複数エージェントの管理運用負荷や
多額のコストはかけられない - EDRのアラート多発(誤検知/多検知)が
不安
結果
- オンプレとクラウドのハイブリット構成
遠隔拠点の監視も実現 - シングルエージェントで一括管理
導入・運用コストを大幅に削減 - +防御機能でアラート削減
高重要度インシデントのみ対応可能
今回は、2008年からSEP(※)、 SESC(※)とシマンテックのエンドポイント製品をご利用いただいている同社の情報業務課 泉谷(いずたに)氏へのインタビューから有益な情報をお届けします。
- SEP:Symantec Endpoint Protection。シマンテックのエンドポイントセキュリティ製品
- SESC:SEPの後継製品の上位版、Symantec Endpoint Security Completeの略。SEPの機能に加え、クラウド管理やEDR、Active Directory保護などの機能が追加されている。
【企業紹介】
大学生協事業連合は、全体としては全国で6地域のブロックにある214の大学や高専の大学生協や組合員を支援する組織です。各地域の事業連合は設立経緯や会員生協(※)の数も異なるため、別法人として独立して運営されています。事業としては、大学生協の経営力やサービス力の向上を支援しています。
| 組織名 | 大学生協事業連合(関西北陸地区) |
|---|---|
| 事業概要 | 全国の大学生協の事業活動の支援 |
| 職員数 | 272人(2023年2月末現在) ※定時職員を含む |
| 対象エンド ポイント数 |
約300台 |
【導入製品】
| 製品カテゴリ | 製品名 | 製品資料 |
|---|---|---|
| エンドポイント | SESC (Symantec Endpoint Security Complete) |
カタログダウンロード |
お客様インタビュー
SEP利用時から検知精度に対して安心・信頼
同社がシマンテック製品を利用し始めたのは2008年にさかのぼります。SEPの導入以前は、部署や個人でバラバラのアンチウイルスソフトを利用しており、適切な管理ができていなかったと言います。過去には、ソフトの更新忘れからウイルスに感染といったインシデントが起こったこともあると振り返ります。
「当時はウイルスの亜種が急増している時期で、従来からのシグネチャベース(※)のアンチウイルスソフトではいずれ検知漏れが生じるだろうと危機感を持っていました。アンチウイルスソフトを検討する中で、振る舞い検知(※)やゼロデイ攻撃(※)対策ができるNGAV(※)を備えたSEPなら安心できそうに思いました。また、法人向けのライセンス契約もしやすい販売形態でしたので導入を決定しました。導入以降、EPP部分は精度も感度も高く信頼を置いて使用しています。」
- シグネチャベース:事前に登録された既知の攻撃と一致する攻撃を検知する仕組み
- 振る舞い検知:通常の挙動と異なる挙動から攻撃の可能性を見つける仕組み
- ゼロデイ攻撃:脆弱性の発見後、修正が行われる前にその脆弱性を利用する攻撃
- NGAV:Next Generation Anti-Virusの略で、機械学習や振る舞い検知などの技術を用いて既知のものだけでなく未知の攻撃からも高精度の保護を可能にしたアンチウイルスソフト
EPP・EDRを一括管理できるSESCにアップグレード
今回、同社はSEPからクラウド管理やEDR等の高度な機能が追加されたSESCにアップグレードを採用しました。他製品と比較検討した結果、SESCを選定した理由について次のように話します。
「1つの製品でこれだけ多くの機能があるため、他社の製品に乗り換える理由が見つかりませんでした。また、運用をサポートしてくれている会社もシマンテックにだいぶ慣れていたことで、そのまま継続していくのがよいだろうと判断しました。以前に他社のEDR製品も検討しましたが、SEPと管理画面が分かれてしまうことや価格面で導入に踏み切れませんでした。SESCならEDRも統合されて1つの管理画面で管理でき、かつ営業さんも頑張ってくれて他社製品と一桁違うコストで導入できるという点を評価し、SESCへのアップグレードを決めました。」
また、コロナ禍で退職者が出たことによる対象PCの台数減や、営業サイドでの値引きにより前々年度と同程度のコストで導入できるという背景もあり、機能面を考えてアップグレードの稟議を上げてからスムーズに導入まで進んだと言います。
ハイブリットで管理・運用、セキュリティ意識の向上に努める
現在は、事業所のある大阪会館で勤務している人や、大阪府内で働いているスタッフのPCと北陸地区を含む学生スタッフのPC、約300台にSESCを導入しています。様々な環境で利用されているエンドポイント端末の管理運用は、ハイブリット構成で対応しています。
「オンプレミスとクラウド管理のハイブリッドで使用し、オンプレミスは建物内のネットワークに接続しているPC、クラウドは遠隔地の拠点のPCを監視・管理と使い分けています。SESCでは、管理画面でどのデバイスに脆弱性がある状態か一目でわかるため、該当のユーザーに注意喚起をしてセキュリティ意識を高めてもらえるようアプローチしています。」
動作について、SEP導入直後は使用していたPCのCPUが古いPentiumなどであったため、ユーザーから「ちょっと遅くなった」と言われることがあったが、現在そういった声はなくなったと言います。
「ここ何年かでずいぶん軽量になったという印象があります。ユーザー側はもちろん、管理者側でも全然問題ありません。」
EDRを楽に運用、高重要度インシデントのみ明瞭化
SESCのEDRについて、過去に検証で利用した他社EDR製品のように、大量のアラートが押し寄せてくるようなことを想定していた泉谷氏ですが、アラート精度の高さにより、運用が効率的に行われていると話します。
「SESCではアラートに危険度の情報が明示されており、特に危険度が高いものに対応するだけでよく、想定よりもずっと運用が楽です。」
また、リスク要因でありつつも制御することでPCの使用に影響があるような場合、影響が出そうなPCがリスト表示されるため、PC側での危険なふるまいを制御することへの心理的負担が減ったとも言います。
「SESCはEDRを含め様々なセキュリティ対策機能が統合されていますが、どの機能もオマケのレベルではなく本格的な製品のように高品質という印象です。」
適応型保護(※)により「事前」の対策が簡単に
なお、EDR以外の機能では、シマンテック独自の防御機能である「適応型保護」を利用しており、機能の精度について高く評価しています。
「管理画面のダッシュボードで、アプリケーションのバージョンアップがあれば通知してくれますし影響のある範囲も教えてくれるので助かっています。影響範囲を確認して、大丈夫かなと思ったらすぐに更新するようにしていますね。特に問題や苦情も出ていないので、安心して使えるという印象です。
また、この機能は危険なアプリケーションや操作について「事前に」わかるため重宝しております。以前であれば、問題発生時にイベントログやSEPのログを確認しながら原因を突き止めてからでないと何をブロックしていいのかわかりませんでした。我々は開発など難しいことをしてはいないため、結構ガチガチに締めていますが影響は出ていません。」
- 適応型保護(Adaptive Protection):SESC搭載の機能。90日間、お客様の環境における使用アプリや操作をAIに学習させ、ブロックすべきアプリ/操作の提案や不審な振る舞いの検知ができる機能
マニュアルやサポートを積極的に活用
SESCを運用していく上での必要な情報は、マニュアルやシマンテックのサポートから得ていると言います。
「マニュアルは最初から最後まで目を通すということはないですが、必要に応じて使っています。製品の使用中に「これはどういう意味だろう?」と思って見たら情報があるので助かっています。SEPの時は日本語のマニュアルがなくて大変でしたが、今は使いやすくなりましたね。
サポートセンターも利用させていただいています。知りたいことが載っている場合も多く助かっていますが、サポート依頼時に、ブロードコムのサイトに入ってからケース(※)の作成を行うのが少し面倒ですね。インターフェースは英語ですが、その向こうには日本のサポートの方々がいらっしゃると思って使っています。」
- ケース:ここでは、具体的なサポートを必要とする問題の意。
これから情報セキュリティに力を入れようとしている企業に向けて
“情報セキュリティの最後の砦は「ヒト」であることは言うまでもないことですが、
感度と精度において信頼できるセキュリティ製品があれば、
ヒトのリテラシーを高めることにリソースを使うことができるようになります”
感度と精度において信頼できるセキュリティ製品があれば、
ヒトのリテラシーを高めることにリソースを使うことができるようになります”