三井ダイレクト損害保険株式会社

“未知の脅威” の可視化で
標的型サイバー攻撃からネット損保の信頼と安心を守る

概要

お客さまの課題

標的型サイバー攻撃の脅威が深刻化、攻撃に対するディフェンス力アップが急務の課題として浮上した

解決策と効果

トラフィック監視と振る舞いチェックで未知の脅威に対する検知力を大幅アップ。検知と対処と自動連携も実現へ

"DDI の導入で脅威の状況が全体的に見通せるにようになり、今何が起きているかが把握できるようになりました。これは、脅威への対応や状況報告の正確性・適切性を増すうえでも有効です"

三井ダイレクト損害保険株式会社
IT企画部 アシスタントマネージャー
野老 景久 氏

導入の背景

三井ダイレクト損害保険株式会社(以下、三井ダイレクト損保)は、MS&ADインシュアランスグループの一員であり、個人向けの自動車保険をインターネットや電話を通して提供する企業だ。開業は2000年6月。以来、インターネットの特性を生かした顧客とのスピーディ/円滑なコミュニケーションや利便性・安心感を追求した商品・サービス作りで着実な成長を遂げてきた。

その事業展開の中で同社が力を注いできた一つがセキュリティだ。ビジネスの特性上、同社の元には顧客のセンシティブな情報が多く集まる。万が一、それらを漏えいさせれば、顧客からの信頼が揺るぎ、経営的に大きな痛手を被りかねない。

「セキュリティリスクはまさに経営リスクです。その最小化に向け、システム各所のセキュリティリスクを洗い出し、優先度の高い施策から適宜遂行するというプロセスを常に回しています」と、IT企画部 アシスタントマネージャーの野老 景久氏は言う。

お客さまの課題

そうした同社が、“最優先”で取り組むべき課題と判断したのが、標的型サイバー攻撃対策だ。2015年半ば、この攻撃による被害報告が国内で相次ぎ、行政機関も大量の情報を漏えいさせた。攻撃者は、標的型メールなどを巧みに用いながら、従来のセキュリティ対策では検知できない未知のマルウェアを送り込み、感染端末を足掛かりに重要情報の外部への不正送信を試みる。仮に同様の攻撃を受けたとき、自分たちは情報の窃取・流出を防ぎ切れるのか─。そんな不安が大きく広がり、経営層からも「他のプロジェクトを中断させてでも標的型サイバー攻撃への対応を急いでほしい」との強い要望が寄せられたと、IT企画部 アシスタントマネージャーの髙野 哲也氏は振り返る。

「実際、当社ではお客様とメールでやり取りすることが頻繁にあります。ですから、標的型メールに添付されているマルウェアを社員が誤って開封してしまうリスクはゼロではなく、“未知の脅威”の検出力をシステムの出入口で早急に強化する必要があったのです」(髙野氏)

その要件に合致したソリューションとして、同社が採用したのがトレンドマイクロの「Deep Discovery™Inspector(以下、DDI)」である。

選定理由

標的型サイバー攻撃対策の強化に向け、三井ダイレクト損保が求めたのは、“振る舞い”によって未知のマルウェアを検出したり、不正通信を検知したりする仕組みだ。そうした要件に基づき、同社は導入候補を2製品に絞り込み、最終的にDDIの導入を決めた。理由の1つは、DDIの圧倒的なコストパフォーマンスにあったという。

「最終候補2製品については実機を借り、実環境で1週間、脅威検知の能力を比較しました。結果は互角でしたが、導入・運用費用を比べるとDDIのほうがはるかに安い。となれば選択の余地はありません。グループ内では他の製品を利用するところもありましたが、DDIの採用を迷わず決めました」(野老氏)

また、三井ダイレクト損保では、エンドポイントセキュリティ製品として「ウイルスバスター™ コーポレートエディション(以下、ウイルスバスター Corp.)」を全社的に利用している。その製品とDDIの連携で、脅威の検知から対処に至るプロセスの自動化・効率化が可能になる点も同社には魅力だった。対処の遅れによる被害拡大のリスクを最小化したいとの考えがあったからだ。さらにDDIの場合、管理コンソールに表示させたい脅威のレベルやアラートのトリガーとなる脅威レベルが柔軟に設定できる。「そのため、運用上の改善も図りやすいと判断しました」と、野老氏は付け加える。

ソリューション

三井ダイレクト損保は2016年1月にDDIを導入、DDIを使ったセキュリティ監視・運用実務をマネージドセキュリティサービスを提供する外部のベンダーに委託した。

同社では現在(2016年5月現在)、従業員が使用する事務系ネットワークの出入口をDDIで監視している。また、DDIが収集したログは専用線経由でセキュリティ運用の委託先にリアルタイムで転送され、委託先による常時監視を通じて脅威の状況を確認・把握している。

DDIを活用した標的型攻撃対策イメージ

導入効果

DDIの運用を開始してから、これまでのところ深刻な脅威は検知されておらず、また出口監視の内容からデータ流出が起きていないことも確認できているという。

「DDI導入の大きな効果は、当社のネットワークにおける脅威の状況が全体的に把握できるようになったことです。これにより、当社のネットワークで今何が起きていて、それにどう対処したかを経営サイドやビジネス部門に明確に報告できるようになりました」(野老氏)

今後の展望

現在、同社ではDDIの活用範囲の拡大に取り組んでいる。1つはDDIの監視対象を内部ネットワークに広げ、出入口対策と内部対策をDDIで包括的に強化することだ。もう1つは、DDIとウイルスバスター Corp.との連携であり、これは2016年内にも実現させたいという。

髙野氏によれば、セキュリティ対策に絶対はなく、さまざまな技術・ツールによって防御を継続的に固めていくことが何よりも重要であるという。ただし、そのための新たなツールの導入でかえって運用の負荷が増し、脅威への対処が遅れてしまうリスクも当然避けなければならない。

「標的型サイバー攻撃対策で重要なのは、深刻な脅威をすばやく発見し、対処することです。そのためには検知から対処までの運用を可能な限り自動化し、運用担当者の手を煩わせることなく、適切な対応が即座に取れるようにすることが必要です。DDIとウイルスバスター Corp.の連携は、それを実現するソリューションとして大いに期待しています」(髙野氏)

※ 記載内容は2016年4月現在のものです。内容は予告なく変更される場合があります。