"ベンダーから次々リリースされるパッチの適用は、システム管理上大きな負担でした。仮想パッチが自動で適用されるようになってからは、その負荷が劇的に削減できたほか、すぐ元に戻せる点もメリットです"

アコム株式会社
システム統轄部 システム運用室
センター運用チーム担当課長
新保 雅敏 氏

"導入に際してトレンドマイクロ社は、当社のシステム環境に踏み込んだ、様々なアドバイスやヒントを提示してくれました。導入・運用を通じて、これまで大きな問題に直面したことはありません"

アコム株式会社
システム統轄部 システム運用室
センター運用チーム
新井 秀一 氏

2008 年に三菱UFJフィナンシャル・グループ（MUFG）の連結子会社となり、多彩な金融サービスを提供するアコム。また、「一人でも多くのお客さまに最高の満足を感じていただき、個人ローン市場において社会に信頼されるリーディングカンパニーを目指す」という経営ビジョンの下、「ローン・クレジットカード事業」「信用保証事業」「海外金融事業」を中核3事業と位置付け、個人ローン市場におけるシェア拡大に努めている。

同社は、業界初の自動契約機「むじんくん」を開発するなど、新たな顧客チャネルの開拓に向けた取り組みを早くから進めてきた。現在は、PC・スマートフォンや携帯電話向けにWebサイトでのサービスも展開。継続的にサービスメニューの拡充を進めている。

Webサイトは当初、残高確認などの照会系を中心としたサービスメニューであったが、近年では会員登録や借入・返済など、店舗窓口や自動契約機と同等の、より広範なサービスメニューが利用できるようになっている。

しかし、このサービスメニュー拡大は、新たなリスクも生んでいた。「契約をWebサイトで行うには、身分証明書や収入証明などの写しをイメージファイルとしてお客様にアップロードしていただく必要があります。偽装ファイルや不正プログラムが潜んだファイルが送られてくる可能性もゼロとはいえず、セキュリティリスクが高まることが懸念されました」とアコムの新保 雅敏氏は話す。

従来、同社ではWebサイトを運用する公開サーバのセキュリティ対策として、インターネットとのゲートウェイ部分にファイアウォールやIPSを設置し、脅威の侵入を未然に防ぐ手法をとっていた。この手法の下で、一層の対策強化を図るためには、万一侵入を許してしまっても、サーバ側で防げる「多層防御」の仕組みを構築することが有効だと判断。「巧妙さを増す昨今のサイバー攻撃からお客様の重要情報を守り、Webサイトを止めずに運用するには、サーバ側にも十分な対策を施す必要があると考えました」と新保氏は語る。

複数製品を検討した結果、採用を決めたのがトレンドマイクロの「Trend Micro Deep Security™（以下、Deep Security）」である。「Deep Securityは、不正プログラム対策に加え、IDS/IPS、ファイアウォール、ファイルやレジストリなどの変更監視、セキュリティログ監視など、サーバの多層防御を実現するセキュリティ機能が1つの製品で提供されています。これにより、公開サーバに対する包括的な対策を一度に実施できる点が魅力でした」と新保氏は説明する。

中でも同社が評価したのが、Deep Securityの仮想パッチと呼ばれる機能だ。これは、公式にはまだセキュリティパッチが提供されていないOSやアプリケーションの脆弱性情報をいち早くトレンドマイクロが把握し、その情報をDeep Securityに展開することで、IPS機能によって自動的に検知したりブロックするものである。

「通常、OSやミドルウェアなどのベンダーから提供されるパッチは、システムに影響がないか検証してから適用しています。そのため、適用に時間を要することもありますが、仮想パッチは構造上、システムに影響を与えないので、いち早く対策が可能。パッチ適用の空白期間をつぶせるため安心です」と同社の新井 秀一氏は述べる。また、サーバごとに通信の可否を調整できるホスト型IDS/IPSのため、よりきめ細かな対策が実現できる点も後押しとなった。

同社は、Linuxで運用するWeb系システムのサーバ約130台にDeep Securityを導入。「導入直後から、既存ゲートウェイではブロックしきれなかった不審な通信が複数回Deep SecurityのIDS/IPSで検知されており、多層防御の効果を感じています」と新井氏は言う。

仮想パッチ機能も、想定通りの成果が得られている。特にポイントとなっているのが、OSやミドルウェアに緊急性の高い脆弱性が見つかった場合、トレンドマイクロが48時間以内に仮想パッチを提供していることだ。実際これまで、ベンダーからのパッチ提供が発表された際には、すでに該当する仮想パッチが適用済みだったケースがほとんどだという。「加えて、業務アプリケーションのモジュール内で使われており、脆弱性を把握しにくいミドルウェアにも、Deep Securityなら自動的に対処することが可能。過去には当社でも、画像処理ミドルウェアの脆弱性をDeep Securityが先回りして発見し、仮想パッチを当ててくれたケースがありました」（新保氏）。

同時に、パッチ適用状況も容易に可視化できるようになった。

同社は従来、いつ・どのパッチを適用したかをExcelの台帳を作って人手で管理していた。パッチのリリース頻度が高まっている昨今は管理者の負担が増加していたという。

これに対し、Deep Securityでは、公表された脆弱性に対して公式のパッチ、および仮想パッチが適用されているかどうかを管理画面で一元的に確認できる。

「セキュリティ事故が報道された際などは、経営層からシステムの安全性の確認が入ります。そうした際も、サーバ単位で稼働するIPSのログや、仮想パッチの適用状況などを管理画面で表示・レポート化できるため、問題ないことを詳しい証拠とともに報告できるようになりました」と新井氏は満足感を示す。

さらにサイトの改ざん検知についても、以前から行ってきたWebコンテンツの監視に加え、Deep Security導入後は各サーバのシステムファイルの監視も実現。一層の対策強化が図れているという。

すでに、同社が顧客との間で行う契約や決済の約5割はWebサイト上で行われており、今後もさらに割合は増えると予測されている。そのため同社は、Webサイトのサービスメニューのさらなる拡充を継続して進める計画だ。

「Webサイトは企業にとっての“顔”。攻撃によるシステム停止やコンテンツの改ざん、情報漏えいなどの事故を起こしてしまえば、企業イメージは取り返しのつかないダメージを被ります。今後も当社は、お客様や社会の要請に応え得る、より高いレベルの安全性の維持に向けて取り組んでいきます」と新保氏は語った。

※ 記載内容は2016年10月現在のものです。内容は予告なく変更される場合があります。