導入事例

Darktrace 「Enterprise Immune System」+監視運用サービス 導入事例

セキュリティ

ソニーライフ・エイゴン生命保険株式会社

AIを活用したツールで情報漏えい対策を強化
内部不正も検知できる堅牢な環境を構築

1. 内部の脅威にも耐えうるようなセキュリティ対策を検討

一般の事業会社よりも、機微な個人情報を預かっている生命保険会社にとって、顧客情報の保護は極めて重要な課題だ。ソニーライフ・エイゴン生命でもデジタル戦略を推進する以前から、さまざまなセキュリティ対策を講じてきた。しかし、情報漏えい対策をいくら強化しても内部の不正行為を防ぐことは困難である。また標的型攻撃などのサイバー攻撃によって社内ネットワークに侵入されれば、アカウントを乗っ取られて重要なデータが盗まれる恐れがある。そこで同社では、デジタル戦略の展開をきっかけに、こうした脅威をさらに軽減するための対策を導入することを決断。2015年にセキュリティ対策を強化するロードマップを描き、2016年に実施する計画を立案、その一環として内部ネットワークのモニタリング強化を掲げた。

ソニーライフ・エイゴン生命 情報システム部 ITセキュリティマネージャ 磯貝 徹 氏

同社の情報システム部には30名程度が所属しているが、セキュリティ対策を専門とするメンバーは多くはない。ソニーライフ・エイゴン生命 情報システム部 ITセキュリティマネージャの磯貝 徹氏は「モニタリングは継続できるかが重要なポイントになります。セキュリティ対策の検討にあたっては、限られたリソースに対していかに運用を省力化できるかも課題でした」と語る。



内部不正を防ぐ対策として、採用されるケースが多いのが「SIEM(Security Information Event Management)」である。SIEMとは、サーバやネットワーク機器などのハードウェアと、アプリケーションやOSなどのソフトウェアからログ(利用履歴)を収集して一元管理し、それらを分析することで不正を検知する仕組みのことだ。ログの収集はツールで自動化できるが、“不正の可能性がある”と判定するルールは人間が決めなければならない。厳しいルールにすればアラートの数が膨大になり、緩やかなルールでは不正を見逃す恐れもある。さらに、新たな手口のサイバー攻撃が登場した場合にルールを変更する必要があり、運用は容易ではない。

さまざまなセキュリティ対策を検討する中で磯貝氏は、ネットワークを流れる通信パケットを監視して不正を検知するツールがあることを知り、複数ツールの中から最終的に選定したのが、英ダークトレース社が提供するセキュリティ免疫システム「Darktrace」である。2016年夏からの試用を経て、同年12月から本格稼働を開始した。

2. 機械学習を活用した不正・異常検知と、24時間365日対応の監視運用サービスが決め手に

このツールの大きな特長は、不正を検知する機能にAI技術の一種である機械学習を活用していることだ。ネットワーク内の通信パケットを分析し、正常な状態(不正が発生していない状態)の通信パターンを自己学習する。学習後は流れるパケットをリアルタイムに監視し、正常な状態のパターンから外れた際に「異常が発生した」と判断し、アラートを発する仕組みだ。

例えば、大容量データの複製や移動、外部の情報機器との通信、普段使っていないプロトコルの利用、労働時間帯以外における活発な行動、通常はほとんど利用しないWebサイトからの実行可能ファイルのダウンロードなどを検知する。一方で、業務上で頻繁に大容量データを複製するユーザの行動に対しては「異常が発生した」とは判断しない。磯貝氏は「機械学習によって正常な状態を学習し、そうでない場合は危険度によってアラートを上げてくれます。不正を判断するルールを人間が設定・変更する必要はありませんので、運用の省力化という要件にマッチしました」と評価する。

ソニーライフ・エイゴン生命 情報システム部 システム業務課 統括課長 馬場 正晴 氏

Darktraceはアプライアンス製品として提供されており、社内ネットワークのスイッチに接続し、簡単な設定を行えば、後は自動的に学習を開始する。ソニーライフ・エイゴン生命の情報システム部 システム業務課 統括課長 馬場 正晴氏は「SIEM製品では、どこから何のログを取るか設定し、ログを確認するための管理画面を作り込まなければなりません。その点、Darktraceは導入も運用管理も容易でした」と付言する。ソニーライフ・エイゴン生命では、データセンターのコアスイッチに接続し、内部ネットワークを流れるすべてのパケットを収集している。

また、KCCSが提供する監視運用サービスも選定の決め手になった。KCCSでは、Darktraceを導入した企業に対して、24時間365日の監視運用サービスを提供中だ。このサービスを利用すると、Darktraceが発するアラートが同社のセキュリティ監視・運用センター「SecureOWL Center」にも届くようになる。

セキュリティ事業部 セキュリティサービス課 西山 健太

平日の日中(9:30~17:30)は、同センターでアラート内容を確認、危険度が高い場合は専門のアナリストが原因および影響を分析・調査して「アナリストレポート」を作成し、セキュリティ担当者にメールで送信する。夜間や休日でも、危険度が高い場合はセキュリティ担当者に電話で連絡するという体制だ。KCCS セキュリティ事業部 セキュリティサービス課 西山 健太は、「KCCSでは社内CSIRT*を立ち上げ、他CSIRTとの情報共有や連携を図ることで、セキュリティインシデントを未然に防止する取り組みを行っています。ここで培った知識と経験を、監視・運用サービスに活かしています」と話す。

*CSIRT:Computer Security Incident Response Team

【次ページ】3. 社員の行動を可視化、異常検知後の分析・調査の運用負荷を軽減し、生産性が大きく向上