導入の背景
目標はグローバル企業にふさわしいセキュリティ体制の構築
写真左から シスメックス株式会社 DX戦略推進本部 リー・アルビン 氏、谷本 重和 氏、井尻 盛太 氏
「シスメックス株式会社(以下、シスメックス)」は、医療用検査機器や試薬・ソフトウェアの研究開発から、製造・販売サービス&サポートを一貫して行うヘルスケア企業です。新型コロナウイルスの臨床検査においても大きな役割を果たしています。
シスメックスは世界190以上の国や地域でビジネスを展開しており、ヨーロッパやアメリカ、中国をはじめとするアジア各国など海外市場の売り上げが非常に大きい比率を占めています。それだけに、世界情勢の影響を受けやすいのも事実です。
谷本氏 「国際情勢が変動し、予期しない事態が起こるリスクが高まる中で、当社が70余年培ってきたノウハウや知的財産を守り、事業を継続させるべく、名実ともにグローバル企業にふさわしい体制を整えようとしています」
こうした考えに立ち、シスメックスではサイバー攻撃をグローバルリスクの1つとして捉え、対策を進めてきました。2020年10月に「Sysmex-CSIRT」を設置し、グローバルガバナンスの確立を目指して、世界各地に展開する販社・関係会社と連携しながら対応する体制作りに取り組んでいます。
谷本氏 「『信頼の輪』を作り、強い組織を作り上げていきたいと考えています」
こうした取り組みの甲斐もあって、2021年11月にはCSIRTの国際団体、FIRST(Forum of Incident Response and Security Teams)に加盟を果たしています。
導入の経緯
箱を作って終わりではなく、「風」を読み、時局を読みながらのセキュリティ対策を模索
近年、Emotetやランサムウェア等、サイバー脅威が高まっています。まず海外拠点が侵害を受け、その影響が国内の本社にも及ぶパターンが頻発しており、シスメックスもそうしたリスクを肌で感じてきました。そこで、国内だけでなく世界各国の拠点にEDR製品を導入し、侵害をいち早く検知できる仕組みを整えるとともに、外部のSOCサービスを導入し、緊急度の高いアラートがあれば、谷本氏らが属するSysmex-CSIRTにエスカレーションする体制を整えました。
アルビン氏 「過去数年の課題は、グローバルガバナンスが確立できていないことでした。各リージョンの方向性も統一されず、共通言語がない状態でした。本社を起点としてグローバルセキュリティポリシーを整備し、インシデントレスポンス時の連携体制を整えるとともに、2022年の1月から3カ月かけてEDRの導入プロジェクトを進め、徐々にグローバルガバナンスの確立を図っています」
ただ、業界標準のフレームワークやガイドラインに沿って対策を打っていくだけでは不十分ではないかとの思いもありました。
谷本氏 「ツールを入れ、CSIRTを作り、SOCを依頼して終わりではありません。攻撃にもトレンドがあります。VUCAの時代、つまりさまざまな脆弱性や不確実性の高まる時代においては、『風』を読みながら、つまり時局を読みながら対策をしていくべきではないかと考えていました」
特にシスメックスの場合は、試薬をはじめ製品に関する重要な情報をいかに守るかが非常に重要な課題です。終わりのない戦いに挑み続ける中で、自社に関するさまざまな情報が、ダークウェブやディープウェブに出回っていないかどうかを知らなければ、効果的な対策はできません。また、新たに報告された脆弱性がすぐさま攻撃に悪用される傾向もあり、最新の情報を紡ぎ合わせて対処する必要があると考え、脅威インテリジェンスサービスの導入を模索しました。
いくつかのサービスの中から、IntSightsとRecorded Futureという2つの脅威インテリジェンスサービスをベースに、ダークウェブやディープウェブからより多くの情報を得られ、かつプロフェッショナルによる支援が得られることから、NRIセキュアのマネージド脅威情報分析サービスを採用することに決定しました。
導入の効果
次のアクションにつながり、経営への説明責任も果たせるレポートに効果を実感
PoCによって手応えを確認した上で、2022年5月から本格的な活用を開始しています。
井尻氏 「まずは、思っていた以上にアラートがあるなというのが第一印象です。中には、我々では手出しのできない領域から得られる発見事項もあり、今までわからなかったことが見えてきたと思っています」
何より効果を実感しているのが、プロフェッショナルによる高いサービス品質です。
井尻氏 「レポート一つとってもツールから出力されたレポートがそのまま送られてくるだけというのではなく、レポートを踏まえて何が問題かを丁寧に説明してもらえます。つまり、次にどんなアクションを取るべきかが明確な、『アクショナブルな情報』が得られています。」
Sysmex-CSIRTを中核としたグローバルガバナンス体制の確立にも役立っています。発見事項を丁寧に説明してもらうことで、海外販社のセキュリティ担当者も、何が問題で、どうするべきかを具体的に検討できるようになりました。以前は別の脅威インテリジェンスツールを導入していた海外子会社でも、マネージド脅威情報分析サービスに対する満足度は高いといいます。
経営層に対する説明責任も果たせるようになりました。もし何らかの兆候が得られたら、Sysmex-CSIRTは経営層に情報を上げて判断を仰ぐことになります。その際に求められるのが「証拠」です。
谷本氏 「マネージド脅威情報分析サービスでは、他のサービスでは得られないしっかりしたエビデンスが得られ、経営に対してレポートすべきアカウンタビリティ、説明責任が果たせています。IntSightsとRecorded Futureというツールにも価値はありますが、そこに専門的な見識と技能と経験とを持つプロフェッショナルが加わることで、よりわれわれが求めるサービスが提供され、ちょっとした不安を払拭してくれています。文字通り『セキュア』が提供されていると感じます」
地域ごとにばらばらだったセキュリティ対策のありかたを、数年かけて少しずつ改善させ、グローバルガバナンスの確立を進めてきたシスメックス。その中で、脅威インテリジェンスから得られる情報は「グローバル企業として共有せざるを得ない情報」であると谷本氏は言います。そして、マネージド脅威情報分析サービスを通して、最も迅速に、かつインパクトのある、対応につながる情報を得られていると感じています。
今後の展望
販社の実情も踏まえたワークフローの整備と内製化を見据えた人材育成に挑戦
マネージド脅威情報分析サービスを織り込んでセキュリティ運用を回し始めたシスメックスですが、次なる課題はよりよいワークフローの整備だと感じています。一口に海外販社といっても、地域や会社によってセキュリティ体制や文化は異なります。NRIセキュアの手助けも得ながら、各国の事情を踏まえて最適なプロセスやパターンを構築し、アラートにタイムリーに対応できる体制を整えています。
アルビン氏 「たとえば一口に情報漏洩と言っても、様々なケースが考えられます。漏れたものの内容や緊急度に応じて、適切なワークフローを整備したいと考えています」
さらに、各国の子会社、関連会社と共同でサイバー演習などを実施して、より強固な連携体制を構築することにも取り組んでいます。これまで続けてきたグローバルガバナンス構築を延長し、販社との連携もステップ・バイ・ステップで進めていく計画です。
もう一つの課題は、セキュリティ運用の内製化を見据えた人材の育成です。井尻氏は過去にSANSのFOR 578(Cyber Threat Intelligence)トレーニングを受講し、資格を取得しました(※)。ここで得られた知識がレポートの内容を読み解いて事象を理解し、取るべき対応を検討する上で役立っています。
※詳細はこちら
井尻氏 「事業会社ではありますが、脅威インテリジェンスの活用に関する知見やノウハウ、スキルを獲得することを目的に資格を取得しました。OSINT技術や本サービスを通じて得られる情報、そしてNRIセキュアによる内製化への支援を受けながら、グループのセキュリティをプロアクティブに高めていきたいと思います」
シスメックスでは、若手のシステム・セキュリティ担当者に対しても、学ぶ機会を積極的に提供し、担当者全体のレベルアップを進めています。ヘルスケアの進化をデザインする」ことをミッションに掲げる同社は、今後も安全・安心な事業体制のもと、グローバルな規模で人々のヘルスケアの向上に貢献していくものと期待されます。
※本文中の組織名、職名、概要図は2022年7月時点のものです。