docomo business | NTT Communications

EDRとアウトソーシングの組み合わせで
検知からインシデント対応までを高速化

自社でのCSIRT運用・セキュリティ運用を一括アウトソーシングすることで、ICT全体運用を最適化。サービスマネージャーやAI、SDOCを活用することでより高度な運用が可能に。今後はクラウドを加えた3層対策を講じることで、ゼロトラストセキュリティを目指していく。

EDRとアウトソーシングの組み合わせで検知からインシデント対応までを高速化 自社でのCSIRT運用・セキュリティ運用を一括アウトソーシングすることで、ICT全体運用を最適化。サービスマネージャーやAI、SDOCを活用することでより高度な運用が可能に。今後はクラウドを加えた3層対策を講じることで、ゼロトラストセキュリティを目指していく。 トータルマネージドセキュリティ
うちの会社もゼロトラストセキュリティに力を入れてICT部門の人員を増やしてくれたんだけど、その担当者が3人同時に病気で休んじゃってさ、もうどうにもなんないよ~って感じだったわけ!大変だったね 体が丈夫な君だからかえって激務にさらされるという。そうなのよ!丈夫に生んでもらってありがたいやら悲しいやら。君の孤軍奮闘には敬意を表するけど しかしたとえ人員万全で対応しても自社だけでセキュリティ面を完璧にしようとするのは無理があるよね。そうよね夜間や休日ずっと社員が対応するわけにもいかないから何かあっても後手にならざるを得ないのよね。そう!24時間365日自社だけでネットワークやサーバーなどのICT環境を監視し続けることは事実上不可能だもんね
やっぱりCSIRTを含むセキュリティ対応は相当な専門知識も必要だし外部に任せないとパンクするわよね…自社でなんでもまかないたいと思うのは当然だけどそれによってコストや社員の負担が限界を超えてしまっては良い経営体制とは言えないよね。そうなの!だから今度部長に外部委託できることはきちんと外部委託してもらえるよう提案するつもりなの!知恵を貸して!ぴょんちゃん!珍しくやる気だね そのやる気に応えよう!例えばNTT ComではEDRソリューション導入による多層防御態勢を構築しさらにAIを活用したNDRソリューションも提供しているんだよ。AI!最先端! CSIRT…Computer Security Incident Response Teamの略。システムやネットワークを監視し、事故の調査や対応を行う組織のこと。
EDR…Endpoint Detection and Responseの略。ネットワークに接続するPCやサーバー、スマートフォンといったエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを検知後、即時対応する手法のこと。
NDR…Endpoint Detection and Responseの略。ネットワークトラフィックを収集し、それを分析することによって攻撃を検知するソリューションである。
さらに不信な動きの素早い発見やインシデントの際の隔離対応などのセキュリティ対策も実現しているんだ。セキュリティインシデントはスピードが勝負だもんね!NTT Comの提供するSDOCはこの迅速な対応を24時間365日してくれるんだ。だからもちろん夜間・休日抜かりなしだよ。頼もしい!そしてエンドポイントやインターネットゲートウェイでのセキュリティ対策に加えて今後クラウドセキュリティにも積極的に注力しているんだよ!え~!クラウドにもセキュリティ?どれだけ広大な世界を相手にしようと!? ※SDOC…Security Demand Operation Center
可能なの?壮大すぎない?そうだね無限を相手にする感じはあるよね。でもだからって立ち止まっていてはネットの安定・安全は危機に瀕するばかりだ ネットを荒らす連中の進化は留まることは知らないからね 誰かが知恵をしぼってやるしかないよ!どこまでもストイックに人のために…もちろん自分たちだけで対策を考えても難しいといきは外部の人の力を借りて取り組むことが重要なんだよ!感動した!私も何か頑張らなきゃ!って気持ちになった!ケーキ週1に減らすね!頑張る!
続きを読む

適用業界・分野

  • 金融業

導入用途

  • アンチウイルスでは検知が困難な未知の脅威への対応
  • ファイアウォール頼りだった出入口制御の見直し
  • インシデント対応のスピード化

目的/効果

  • EDRサービスの導入による多層防御の実現
  • CSIRTのアウトソーシングによる24時間365日対応
  • プロの情報収集・分析により新たな脅威にも対応
  • SDOC(Security Demand Operation Center)により1時間以内で隔離完了、迅速なインシデント対応を実現
  • 将来的にはEDR、GWに加えクラウドセキュリティも視野

従来の課題(購入動機)

シグネチャーベースのアンチウイルス製品では検知率が低く、新たな脅威にも対応できないことが多く、一刻も早い対策を検討していた。

出入口対策としてファイアウォールを導入していたが、最適なチューニングができておらず、十分な効果を発揮している状態ではなかった。

そもそもCSIRTを自社のみで回しており、インシデント対応が平日の日勤帯に限られていたため、休日・夜間を狙って攻撃されるリスクがあった。日々のセキュリティ対応に追われており、情報の収集、可視化、分析、またCSIRT運用の効果についても検証がままならない状況であった。

解決手段/導入効果

CSIRTを含むセキュリティ対応を一括でアウトソーシング。通常時においては、問い合わせ対応や、ポリシー変更作業、セキュリティ対応状況をまとめた月次のレポートの作成を行う。またサービスマネージャー(SM)による、定期的なセキュリティ運用改善提案によるICT全体運用の最適化も可能となる。

SDOCでは、アラートを検知してから、感染端末の特定、隔離を行い検知後1時間以内の隔離対応を実現。感染拡大を未然に防ぐ強靭な体制が確立できた。

そのほかにも、AIを活用したEDRの導入で多層防御体制を構築。迅速な隔離対応やファイアウォールのチューニングにより高度なセキュリティ運用が可能になった。

エンドポイントとゲートウェイの多層防御に加え、今後はクラウドを加えた3層対策を講じることで、ゼロトラストセキュリティを目指していく。

金融業A社さま 事例のポイント

ソリューション課題、シグネチャーベースのセキュリティ対策、人的課題、人材不足による24/365未対応、社会的課題、オリンピックをトリガーとした社会的なセキュリティの脅威から自社防衛、セキュリティポリシーの確立、多層防御の運用一元化、インシデント対応の高速化、多層防御によるセキュリティ運用のアウトソーシング、設計・構築・提供・運用を一気通貫提供、NTT Comの提供ソリューション、ソリューション提供、ネットワークソリューション、Arcstar Universal One、セキュリティソリューション、Wide Angle、マネージドサービス、X Managed®、1.迅速なレスポンス、2.CSIRTのアウトソーシング、3.多層でのセキュリティ対策、NTT Comの各種ケイパビリティ

NTT Comは、EDRソリューション導入による多層防御によりセキュリティ対策を提供から運用まで一気通貫で提供。セキュリティ機能を最大限に発揮し、お客さまの課題を解決しました。

ソリューション提案後の概要図

NTT Com、FW/Proxy、FWチューニング、SaaS、Arcstar Universal One、EDR導入による多層防御、インシデントハンドリング、SDOC、1時間で隔離対応、SOC、WIDE ANGLE INFORMATION SECURITY AND RISK MANAGEMENT、アラート通知、調査依頼、調査結果回答、お客さまICT部門、対象PC数12,000台、Nexcenter

EDRソリューション導入により、新種攻撃への対策、アラート受領後1時間以内の隔離対応依頼、FWチューニングなど、高度な脅威防御並びに標準的かつ迅速なセキュリティ運用体制を実現しました。

運用内容(ITIL)

ITIL Process、イベント管理、検知するセキュリティイベントをMSS(アナリスト)が検知したアラームをトリアージしてセキュリティインシデントの発生状況を管理、インシデント管理、24/365一元対応、日本語対応、受付手段ごとによる連絡(メール、ポータル、電話)、リスクレベルごとによるNW隔離/抑止対応/復旧対応、変更管理(標準変更)、業務利用の通信などを隔離した場合はお客さまの依頼にもとづきホワイトリスト登録を実施、問題管理、インシデント管理の際に明らかになった、ソリューションやソリューション構成要素における問題の解決、継続的ソリューション改善、各種ITILプロセスで取得した情報のレポートを作成、月1回メールにて報告

対象となるICTに対して、各種ITILプロセスに沿っている標準化された運用を提供しています。

ポイント1. 迅速なレスポンス

1時間以内で隔離対応、①アラート検知、複数端末にアラートを検知、②感染端末特定・隔離、即時対応として隔離を実施、③必要に応じて調査・例外登録、お客さま申告による事象の調査および例外登録、④事象整理、報告、対応内容・調査内容をまとめ、お客さまへご報告、EDRソリューション運用体制、SOC、SDOC、オペレーター、サービスマネージャー、お客さまICT部門、通知、隔離、調査、報告

インシデントレスポンスによるインシデント対応を実施。お客さまと事前に確認の上定めた手順に従い、膨大なアラートの中から対応が必要な事項をSOCにて速やかに抽出、1時間以内での隔離を行い感染拡大を未然に防ぎます。

ポイント2. CSIRTのアウトソーシング

CSIRT体制構築の課題、脅威情報の収集・情報分析が十分できていない、人材不足、社員教育環境の未整備などの課題があり、適切な体制でのCSIRT運用が困難な状態。、アウトソーシングによる課題解決、CSIRTの一部をアウトソーシングすることで、未対応だった情報収集・分析をアナリストが対応。24/365の体制も可能に。、お客さまICT部門、NTT Com、社内外の情報共有、CSIRT全体統括、自組織内教育、インシデント対応、情報収集、情報分析

お客さま運用体制では平日日勤帯の属人的な対応でした。また、脅威情報の収集・情報分析が十分でなかったため、インシデント対応の24/365化、脅威インテリジェンスの活用、アナリストによる分析を実現しました。

ポイント3. 多層でのセキュリティ対策

一元サポートNTT Comヘルプデスク、SDOC、インシデントハンドリング、エンドポイントセキュリティ、EDR、GW(NW)セキュリティ、クラウドプロキシー、FWセキュリティ、クラウドセキュリティ、CAS、CASB、MPLS-VPN、国内拠点、海外拠点、リモートPC、SaaS、NTT DC、Nexcenter

現在運用中のEDRとFWセキュリティに加え、今後はクラウドプロキシーとクラウドセキュリティも含んだインシデントハンドリングを行い、多層でのセキュリティ対策=ゼロトラストセキュリティの実現を可能にしていきます。

課題を解決したソリューションサービス

トータルマネージドセキュリティ

「トータルマネージドセキュリティ」は、端末からインターネット、そしてクラウドにいたる資産管理やエンドエンドのセキュリティ対応、ならびに、多言語ユーザーサポートを行います。

詳細はトータルマネージドセキュリティをご覧ください

一言ヒント!

CSIRTを含むセキュリティ運用を自社内で行う企業は少なくありません。しかし対策を取るには人材の確保が必要になります。しかも、インシデントが起こった後には対外的な説明責任が問われるため、素早く原因を分析・把握し、説明できるスキルを習得する必要があります。

加えてグローバルで事業を展開する場合、日本時間だけのインシデント対応では手遅れになるため、24時間365日体制の監視が求められます。このように、いくつもの条件をクリアし、理想的なセキュリティ運用を自社内で回すことは非常に困難です。そこで現在、セキュリティ運用をプロに託す、アウトソーシングに舵を切る企業が増えています。

NTT Comが提供する「SDOC(Security Demand Operation Center)」は、アラート発信を受けて、セキュリティインシデントの発生状況を管理。端末のネットワークからの隔離や抑止対応など、事前に取り決めた対処を行うソリューションです。24時間365日のフルタイム対応により、休日や深夜帯にセキュリティインシデントが発生しても迅速に対処でき、被害の拡大を最小限に抑えることができます。

関連用語

CSIRT

シーサート。Computer Security Incident Response Teamのことで、システムやネットワーク上でサイバーセキュリティなどの問題が起きていないかどうかを監視し、事故が起きた際には被害の抑制や原因究明、影響範囲の調査などを行う組織を指す。

EDR

Endpoint Detection and Responseの略で、ネットワークに接続されるPCやサーバー、スマートフォンといったエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを検知後、即時対応する手法のこと。エンドポイントがサイバー攻撃を受けることを前提に、被害を最小限に抑えることが目的となっている。

関連記事

ゼロトラストセキュリティとEDR-多層防御の考え方

サービスマネージャーとは - 役割や3つの分類など

ICT運用管理業務のアウトソーシング
~ビジネス価値を飛躍的に向上させる活路~

※Amazon Web Services、“Powered by Amazon Web Services”ロゴ、および本ウェブサイトで使用されるその他の AWS 商標は、米国その他の諸国における、Amazon.com, Inc. またはその関連会社の商標です。

お問い合わせ

このページのトップへ