東京海上日動リスクコンサルティングが提供するリスクコンサルティングという業務の特性上、サービスの質を高めるためには、さまざまな分野の情報や知識を常に収集し活用することが不可欠です。この点についてコーポレートサービス部 ICT企画室室長の関口幸一氏は「当社のサービスメニューの中には海外での危機管理や情報セキュリティに関するコンサルティングなども含まれます。当然、こうしたサービスを提供するためには最新の情報をいち早く入手しなければなりませんから、多少のリスクを冒してでも世界中のWebサイトにアクセスし、広く情報収集を行う必要があるのです」と説明します。
しかし、当社がマルウェアに感染してしまっては論外です。今までも同社はさまざまなセキュリティ対策を講じ多層防御を実施しました。マルウェアの侵入を100%防ぐことはできないという前提のもと、何重にもデータのバックアップを取得。また、サイバー攻撃を受けたことを想定した訓練を実践さながらに定期的に実施してきました。
さらに物理的に分離されたネットワークからWebサイトにアクセスするためのWeb閲覧専用端末を10台程度用意しました。しかし利用の都度、専用端末の利用手続きを行う必要があるなど業務効率が悪くなってしまうため、利用が浸透しませんでした。
「脅威がより高度化・巧妙化している昨今、既存の対策だけではWebサイトからの脅威を完全に排除することは難しく、早急に抜本的な対策をしなければ、マルウェアに感染するのは時間の問題と危機感を抱いていました」(関口氏)。
「サービスインもスムーズに進み、ユーザからの問い合わせも今はほとんどなくなりました。まだ使い始めてからの期間も短いので具体的な効果測定は難しいのですが、しばらく統計を取っていけば効果が確実にわかると思います」
こうした状況を鑑み同社では、より抜本的なセキュリティ対策を検討し、従来の多層防御に加えてWeb分離を追加することを決定しました。同社が具体的に製品の選定に入ったのは2016年後半のことでしたが、その経緯についてコーポレートサービス部 ICT企画室 主席研究員の菊地隆司氏は「社内システムのログ解析により、Webフィルタリング製品で安全と判断されたWebサイトの広告エリアなどからマルウェアを検知していることが判明していました。つまり、従来のWebフィルタリング製品ではマルウェアの侵入を防げないことは認識していました。
製品選定の情報収集の段階からWeb上のコンテンツ自体を分離・無害化し安全を確保するという『Menlo Security』独自のIsolation技術に注目していました。より詳しく知りたいと考え、2017年2月に行われたNRIセキュアテクノロジーズ(以下、NRIセキュア)主催のセミナーに参加したのですが、その内容は非常にわかりやすく、Menlo Securityがベストな選択だという思いが強まりました」と語ります。
他の候補としては同じくWeb分離を行うことができる仮想ブラウザ製品やVDIの導入などを検討しましたが、これらはシステム構成を大きく変更する必要があり、構成が複雑になってしまうことがわかりました。また、ファイルをWebサイトからダウンロードする際の手順が複雑で、利便性が劣る点もネックとなりました。
「物理的なWeb分離施策が浸透しなかったのは利便性の低下によるものでしたので、ユーザの利便性の低下を最小限にすることは重要であると判断していました。その点Menlo Securityは、利便性の低下が最小限で、SaaSなのでハードウェアを調達せずに、テストができます。そのため導入の手間が大幅に削減でき、比較した他のソリューションに比べて運用を含めたトータルコストも安くなります。セキュリティ製品は常に最新の状態で使用することが非常に重要ですが、Menlo Securityは自動的に常に最新の状態で使用できるというのも大きなメリットです」(菊地氏)。
比較検討の結果、同社は2017年8月下旬から第一候補のMenlo SecurityのPoCを開始。実際に社内ネットワークと接続して、一部の端末を使って業務を想定した100項目以上のテストをしました。約1か月という短期間で問題なく利用できることが確認できたので、10月に正式に採用を決定しました。
「テスト時に一部のWebサイトにつながらない、表示に時間がかかるといったトラブルも発生したのですが、NRI セキュアの適切なサポートにより迅速に解決できました。NRIセキュアは技術力が高く、特にネットワーク接続やプロキシ設定などの面では大いに助けられました。おかげ様で導入期間も想定よりかなり短くなっています。実は他のSIerからも同様の提案を受けていたのですが、NRIセキュアを選んで本当に良かったと思っています」(菊地氏)。
「今回の導入では『利便性の低下を最小限にすること』を重視しました。その点においてもMenlo Securityは最適なソリューションだと思います。SaaSなので簡単にテストでき、安価に導入することができます。また、セキュリティは自動更新されるので、自社で運用する必要がないというのも大きなメリットです」
東京海上日動リスクコンサルティングは2017年12月に全社へMenlo Securityの導入を完了。「導入によるインターネット閲覧時の操作の変更点や影響などを事前に社内で説明したので、サービスインもスムーズに進み、ユーザからの問い合わせも最初の一週間を過ぎてからはほとんどなくなりました。まだ使い始めてからの期間も短いので、具体的な効果測定は難しいのですが、マルウェアの検知数は毎月カウントしていますので、しばらく統計を取っていけば効果が確実にわかると思います」(関口氏)。
いま見えているMenlo Securityの導入効果としては、Web経由のマルウェア感染のおそれのない環境が実現したことで、各ユーザがリスクを気にすることなくさまざまなWebサイトへアクセスできるようになり、本来の業務に集中できるようになったことが挙げられます。
「利便性の低下を最低限に抑えつつ安全にWebサイトにアクセスできる環境が実現できたのは大きな成果です。何より安心感が違います」(菊地氏)。
東京海上日動リスクコンサルティングが次のフェーズで検討しているテーマのひとつにモバイル端末へのMenlo Securityの導入があります。同社のコンサルタントは顧客先で提案やプレゼンを行うためにモバイル端末を活用することが多い。そこで同社は導入の第2フェーズとして、モバイル端末へのMenlo Securityの導入を計画しています。
「メール無害化も今後のテーマとして考えているので、Menlo Securityがメールの無害化製品をリリースするのであれば、ぜひ検討したいと考えています」(関口氏)。
また、NRIセキュアについて関口氏は「今回の導入がスムーズに完了できたのも同社の手厚いサポートがあってこそです。引き続きこれからもさまざまな面で支援をお願いします」と感謝の言葉を述べています。
Web分離・無害化ソリューション Menlo Security製品情報はこちら東京海上日動リスクコンサルティング株式会社
1996年設立。東京海上日動火災保険をはじめとする東京海上グループが一世紀以上にわたって培ってきたノウハウをもとに、自然災害や事故、テロなど現代の企業を取り巻くさまざまなリスクについて、実践的で効果の高い対策を提案。顧客の信頼を原点におき、安心と安全に関する事業活動を通じて、リスクに強い社会の発展に貢献することを目指している。
※本文中の組織名、職名、概要図は公開当時のものです。(2018年)
