導入の背景
目標はグローバル企業にふさわしいセキュリティ体制の構築
シスメックス株式会社 DX戦略推進本部 井尻 盛太 氏
「シスメックス株式会社(以下、シスメックス)」は、医療用検査機器や試薬・ソフトウェアの研究開発から、製造・販売サービス&サポートを一貫して行うヘルスケア企業です。新型コロナウイルスの臨床検査においても大きな役割を果たしています。
シスメックスは世界190以上の国や地域でビジネスを展開しており、ヨーロッパやアメリカ、中国をはじめとするアジア各国など海外市場の売り上げが非常に大きい比率を占めています。それだけに、世界情勢の影響を受けやすいのも事実です。
予期しない事態が起こるリスクが高まる中、シスメックスはサイバー攻撃をグローバルリスクの1つとして捉え、70余年培ってきたノウハウや知的財産を守り、事業を継続させるべく、グローバル企業にふさわしいセキュリティ体制作りに取り組んできました。2020年10月に「Sysmex-CSIRT」を設置し、世界各地に展開する販売会社・関係会社と連携しながら対応する体制を整備しました。さらにEDR製品や外部のSOCサービスを活用し、侵害をいち早く検知できる仕組みも整えてきました。
しかし世界情勢の影響も相まって、ランサムウェアをはじめとするサイバー脅威のリスクは高まるばかりです。特にシスメックスの場合は、試薬をはじめ製品に関する重要な情報をいかに守るかが非常に重要な課題です。終わりのない戦いに挑み続ける中で、自社に関するさまざまな情報がダークウェブやディープウェブに出回っていないかどうかを知らなければ、効果的な対策はできません。不確実性の高まる時代において、最新の脅威動向を読みながら対策をしていく必要性を感じていました。
導入の経緯
マネージドサービスの活用から内製化までを段階的に計画し、伴走しながら支援
シスメックスはこうした背景から、最新の情報を紡ぎ合わせて対処する必要があると考え、脅威インテリジェンスサービスの導入を模索しました。
脅威インテリジェンスを活用すれば、自社のリスクにつながる情報が流通しているかどうかを知り、それを踏まえてどう対処すべきかのアドバイスが得られます。ただ「どういうきっかけで、何を根拠にそう判断したのか」までは見えません。シスメックスでは背景も含めて自分たちで理解したいと考えていましたが、情報の監視と判断、トリアージすべてを自力で行うのはハードルが高いとも感じていました。
そこでNRIセキュアが提案したのが、まずマネージド形で脅威インテリジェンスサービスの導入を開始し、少しずつ知見やノウハウを蓄積していった上で、最終的には自力での運用に移行する段階的なプランでした。
井尻氏 「脅威インテリジェンスに関するさまざまなインプットを受けながら段階的に内製化していく提案をいただき、『これなら運用できそうだ』と考えました」
まず2022年に、IntSightsとRecorded Futureという2つの脅威インテリジェンスサービスをベースにしたNRIセキュアのマネージド脅威情報分析サービスの利用を開始しました。プロフェッショナルによる品質の高いサービスを受けることができ、それだけでも非常に有用でした。
井尻氏 「レポート一つとってもツールから出力されたレポートがそのまま送られてくるだけでは終わらず、何が問題かを丁寧に説明してもらえます。つまり、次にどんなアクションを取るべきかが明確な、『アクショナブルな情報』が得られています」
マネージド脅威情報分析サービスの分析結果から得られた情報を元に、必要に応じてグローバル各国の拠点に連絡を取りながら対応し、重大なインシデントの芽を未然に摘んでいきました。また、明確なエビデンスを元に経営層への説明が行える体制も整いました。
並行してマネージド脅威情報分析サービスの運用を通じ、シスメックス特有の事情や価値判断も考慮した上で「このようなアラートにはこのように対応すべきだ」というノウハウを蓄積し、データベース化していきました。
こうした積み重ねを経て2023年5月、シスメックスはいよいよ脅威インテリジェンス運用の内製化に取り組みはじめました。その内製化を支援したのがNRIセキュアによるトレーニングと、伴走型での支援です。まず、脅威インテリジェンスに関する基礎トレーニングでベーシックな知識を身につけた上で、シスメックスとNRIセキュアで同一の管理画面を閲覧しながら、どのアラートをどう判断し、どう対応すべきかの判断をすりあわせていきました。
井尻氏 「当初は『リスクの深刻度を適切に判断できるだろうか、本当に自分たちできちんと運用できるのだろうか』という不安がありました。最初の三ヶ月間、NRIセキュアに私たちの運用を一緒になって見ていただき、リスクレベルの判断は適切か、見つけるべき情報を見つけられているかの答え合わせを週に一回のペースで定期的に行っていくことで判断のギャップを埋め、最終的に、これなら自分たちでもある程度できるという自信が付きました」
多国籍のメンバーで構成されるSysmex-CSIRTにとっては、担当者の手厚いサポートに加え、英語でのレクチャーが可能なことも大きな手助けになりました。
導入の効果
同じ画面、同じアラートを見ながらノウハウを移転し、自信を持って内製化
マネージド脅威情報分析サービスの利用を通して蓄積したノウハウに加え、3カ月間同じ画面を見ながら、「この情報をどのように判断すべきか」についてのナレッジを移転していくことで、シスメックスは着実に脅威インテリジェンスサービス活用の経験値を積み、2023年から内製化に踏み切ることができました。
井尻氏 「NRIセキュアではどんな場合にはどう対応するかをすでにパターン化しており、シスメックスにとっても参考になりました。また、直接は関係なくとも、ディープウェブやダークウェブの背景情報を踏まえ、最近のトレンドについても知ることができました」
現在、Sysmex-CSIRTの担当者が脅威インテリジェンスの情報の分析、トリアージと関係者への連絡といった業務に当たっています。
井尻氏 「内製化に伴い、具体的にどのようなツールを用いてどうモニタリングしているかを各国・地域の担当者に説明しました。マネージド脅威情報分析サービスで得られた情報をとりまとめ、各国・地域に推奨する対応事項とともに伝えていましたが、内製化を機に、どのように情報を得て、それがどう伝わっているのかがわかりやすくなり、納得性が上がっているように思います」
脅威インテリジェンスに関する活動が見えやすくなった結果、各国・地域おいても、より対処に動きやすくなる効果が得られています。
今後の展望
専門性を備え、CSIRTとして社内に高い価値を提供
今の段階では、ツールから出てくるアラート一つ一つを丁寧に確認していますが、一連の作業をより効率的に行えるよう、改善方法を模索していく方針です。また、この先異動などで担当者が変わっても、同じように脅威インテリジェンスの運用を継続していけるよう、業務フローの標準化にも取り組んでいます。
井尻氏 「我々が日々やっている運用作業をドキュメント化し、標準化することで、今後担当者が変更になる場合や、増員する場合も同じように運用できるよう、年内をめどに準備を進めています」
外部のリソースに頼るマネージドサービスとは異なり、内製化すれば、社内のリソースを多く消費し、工数も増えるのは事実です。しかしシスメックスではそれだけの労力を割く価値のあることだと判断しています。
井尻氏 「単にアラートを受け取って対応するだけでは、CSIRTとしての価値が薄いように思います。CSIRTメンバーには専門性を持って自社のリスクに対応することが求められており、脅威インテリジェンスの運用内製化は、その価値を明確に示す取り組みの一つだと考えています」
今後もNRIセキュアの支援を得つつ、ダークウェブやディープウェブなどのより深い背景情報にも踏み込みながら、適切に時流を読み、自社をさまざまな脅威から守っていきます。
※本文中の組織名、職名、概要図は2023/11月時点のものです。
