導入の背景

Webセキュリティ対策が喫緊の課題に

東京海上ディーアールが提供するリスクコンサルティングという業務の特性上、サービスの質を高めるためには、さまざまな分野の情報や知識を常に収集し活用することが不可欠です。この点について経営企画部ICT企画ユニットリーダーの関口幸一氏は「当社のサービスメニューの中には海外での危機管理や情報セキュリティに関するコンサルティングなども含まれます。当然、こうしたサービスを提供するためには最新の情報をいち早く入手しなければなりませんから、多少のリスクを冒してでも世界中のWebサイトにアクセスし、広く情報収集を行う必要があるのです」と説明します。

しかし、マルウェアに感染してしまっては論外です。今までも同社はさまざまなセキュリティ対策を講じ多層防御を実施しました。マルウェアの侵入を100％防ぐことはできないという前提のもと、何重にもデータのバックアップを取得。加えて、役員や派遣社員も必ず受講するセキュリティ研修を実施し、サイバー攻撃を受けたことを想定した実戦さながらの訓練を毎月行ってきました。

経営企画部 ICT企画ユニット 主席研究員の菊地隆司氏は「ほぼ毎月のようにマルウェアを検知しており、9割がWebサイト経由でした。そのうちの7割が海外サイトでしたが、有名な企業の公式サイトやニュースサイト、天気予報サイトなど、特に危険があるとも思えないサイトに仕込まれていた例もありました」と振り返ります。

そこで同社は、物理的に分離されたネットワークからWebサイトへアクセスする、Web閲覧専用の端末を10台程度用意しました。しかし、利用する度に手続きを行う必要があるなど業務効率が悪くなってしまうため、利用が浸透しなかったとか。

「脅威がより高度化・巧妙化している昨今、既存の対策だけではWebサイトからのリスクを完全に排除することは難しく、早急に抜本的な対策をしなければ、マルウェアに感染するのは時間の問題と危機感を抱いていました」（関口氏）

導入の経緯

侵入前に脅威の「可能性」を排除する独自技術と利便性を損なわない点を評価

こうした状況を鑑み同社では、より抜本的なセキュリティ対策の検討を開始しました。具体的な製品の選定に入ったのは2016年後半のことでしたが、その経緯について菊地氏は「社内システムのログ解析によれば、Webフィルタリング製品が安全と判断したサイトからもマルウェアが検知されており、従来型の対策では100％侵入を防ぐことは不可能だと考えました。そこで発想を変えて、侵入した脅威を検知し除去するのではなく、脅威が侵入してくる可能性自体を排除する手法を探すことにしたのです」と語ります。

製品選定の情報収集の段階からWeb上のコンテンツ自体を分離・無害化し安全を確保する「Menlo Security」独自のアイソレーション技術に注目しており、2017年2月に行われたNRIセキュアテクノロジーズ（以下、NRIセキュア）主催のセミナーに参加。「その内容は非常にわかりやすく、Menlo Securityがベストな選択だという思いが強まりました」（菊地氏）

このほか、仮想ブラウザやVDIなども選択肢に上がりましたが、これらはシステムを大きく変更する必要があり、構成が複雑に。また、ファイルをWebサイトからダウンロードする際の手順も複雑なため、利便性に劣るというネックがありました。

「Web閲覧専用端末による物理的なWeb分離は、ユーザーの利便性を大きく損なってしまったので浸透しませんでした。そのことからも、なるべくユーザーの利便性を考慮することも重要であると思います。Menlo Securityは利便性をほとんど損なわずに、セキュリティを高めることができます。また、SaaSなので導入が容易で、他のソリューションに比べて運用を含めたトータルコストが安く済みます。加えて、自動的に最新の状態で利用できる点もメリットです」（菊地氏）。

同社は、2017年8月下旬からMenlo SecurityのPoCを開始。実際に社内ネットワークと接続し、一部の端末を使って業務を想定した100項目以上のテストを実施しました。これにより、問題なく利用できることが確認できたため、10月に正式に採用を決定しました。

「テスト時に一部のWebサイトにつながらない、表示に時間がかかるといったトラブルも発生したのですが、NRI セキュアの適切なサポートにより迅速に解決できました。NRIセキュアは技術力が高く、特にネットワーク接続やプロキシ設定などの面では大いに助けられました。おかげ様で導入期間も想定よりかなり短くなっています。実は他のSIerからも同様の提案を受けていたのですが、NRIセキュアを選んで本当に良かったと思っています」（菊地氏）

導入の効果

安全・安心が向上し本来の業務に集中できるように

東京海上ディーアールは2017年12月に全社へMenlo Securityの導入を完了。これに合わせ、社内へ向けてインターネット閲覧時の操作の変更点や影響などの説明を行いました。

「Web経由のマルウェア感染のおそれがない環境が実現したことで、ユーザーは安心してさまざまなWebサイトへアクセスできるようになり、本来の業務に集中できるようになりました」（菊地氏）

取材時点で導入から2年が経過していますが、関口氏は「マルウェアの多くをMenlo Securityによって社内へ侵入する前に排除できています。おかげでエンドポイントでの検出は年に数件になり、今年度はゼロになりました。実害も一切出ていません。メンテナンスフリーのため運用面での余計な負荷がなく、普段は存在を意識することもありません」とその効果を語ります。

さらに、リスクごとのサイトアクセスやマルウェア無害化の状況などが可視化された点も大きいといいます。

「Menlo Securityのレポートによってリスクの可視化が実現。これを時系列で見ることで変化を知ることが可能になり、効果測定ができるようになりました。結果は毎月経営陣に報告していますが、その作成も月に15分程度の作業で済んでいます。さらに、その可視化された状況をベースに、能動的な対応が行えるようになったことも大きなメリットです」（関口氏）

今後の展望

Menlo Securityを核に今後のセキュリティ対策を検討

「東京海上ディーアールは、Menlo Securityの導入によりWebのセキュリティ対策はひと段落したと考えています。

メールにおいてもURLリンクへのアクセス時はブラウザが立ち上がりMenlo Security経由で無害化閲覧ができるので安心です。今後はMenlo Securityを核にして、これまでのセキュリティ対策のリプレースを考えていきたいと思います」（関口氏）

また、NRIセキュアについて関口氏は「今回の導入がスムーズに完了できたのも同社の手厚いサポートがあってこそです。引き続きこれからもさまざまな面で支援をお願いします」と感謝の言葉をいただきました。

※本文中の組織名、職名、概要図は公開当時のものです。（2020年3月）