田原市役所

攻撃を早期に検知して、被害を最小化
脅威侵入後を見据えた対策で市民サービスの安全を守る

概要

お客さまの課題

ゲートウェイ、エンドポイントなどの既存の対策をすり抜けて、未知の脅威が侵入。大きな被害にはつながらなかったが、調査のため一部のネットワークを自主的に6日間制限した

解決策と効果

庁内ネットワークを可視化し、脅威の侵入をすぐに把握。また、ネットワークと連携させて、脅威の自動隔離の仕組みも実装し、被害を最小化できる環境が整った

"最新動向を見ても、脅威の侵入を100%防ぐことが困難なのは明らか。あらゆるリスクを想定して、市民サービスを安全に守るのが私たちのミッション。今回の対策強化は、そのための大きな一歩です"

愛知県田原市役所
総務部情報システム係 課長補佐兼係長
小久保 高 氏

"自社製品、他社製品を問わず、ほかのソリューションとDDIを連携させるなど、セキュリティ対策のあるべき姿を柔軟に模索するトレンドマイクロのアプローチは、非常に心強いですね"

NTT西日本
名古屋支店 ビジネス営業本部 SE担当 主査
鈴木 祐司 氏

導入の背景

愛知県の南東部、渥美半島に位置する田原市。三河湾、太平洋、伊勢湾と、三方を海に囲まれた温暖な気候を活かし、野菜、果物などの近郊園芸農業が盛んで、農業産出額は市町村別で全国1位を誇る。また工業の分野でも、三河港臨海工業地帯田原地区を中心に様々な製造業が生産拠点を構えており、製造品出荷額でも全国有数の地域となっている。

お客さまの課題

現在、自治体のIT活用において避けて通れないテーマがセキュリティである。田原市も「自治体情報セキュリティクラウド」や「自治体情報システム強靱性向上モデル」といった総務省主導の対応はもちろん、インターネットの出入り口やエンドポイントを中心に、ファイアウォール、IPS、スパムメール対策、ウイルス対策ソフトなど、独自に様々な対策を講じてきた。

しかし2016年6月、職員が受信した攻撃メールの添付ファイルを開いてしまったことからPCがウイルスに感染するインシデントが発生。市民サービスには直接の影響はなかったが、情報漏えいなどの被害が起きていないかを確認できるまで、6日間にわたって自主的に一部のネットワークを制限させた。

「調査の結果、原因がオンラインバンキングを狙った未知のマルウェアだったことが判明。ゼロデイ攻撃など、侵入を100%防ぐことが困難な未知の脅威に対して、どのように対応すべきかという課題を突きつけられました」と田原市役所の小久保 高氏は振り返る。

選定理由

そこで、田原市は、未知の脅威に侵入を許してしまった後にどう対応すべきか、という観点で新たな対策を検討。侵入した脅威を検知するセンサーとして、トレンドマイクロの「Deep Discovery™ Inspector(以下、DDI)」を導入した上で、DDIとほかの製品を連携させ、被害を最小化する仕組みを構築することにした。

DDI検討のきっかけになったのが、先のインシデントを解決するためにトレンドマイクロに原因究明を依頼したことだった。「トレンドマイクロがDDIを用いて庁内のネットワーク内部を可視化し、何が起こっているのか、どこまで影響が及んでいるのかなどを、すぐに明らかにしてくれました。実際に助けられて、その実力を高く評価しました」と小久保氏は言う。

また、前述した製品連携とは、DDIとアライドテレシス社のネットワーク機器との連携を指す。田原市は、庁内ネットワークをアライドテレシス社の機器で構築している。DDIは、SDN(Software Defined Network)を実現する同社の「Secure Enterprise SDN(以下、SES)」と連携し、DDIが不審な通信を検出した場合には、事前に設定したポリシーに基づき、関連する端末やネットワークセグメントを自動で隔離・遮断できる。

ほかにも、DDIは、同市が端末のウイルス対策として導入しているウイルスバスター™ コーポレートエディション(以下、Corp.)と連携して、パターンファイルでは検知できない脅威をクライアント側で検知・隔離できるようにすることも可能。同市は、これらの仕組みをフルに実装することで、脅威検知時の自動一次対処、および被害の局所化ができると考えた。

採用に当たっては、デモ機による検証も行った。「実害のないものではありましたが、脅威が侵入していた形跡を検知しました。可視化できる内容や精度の高さを再確認しました。」と同市のIT活用を長く支援しているNTT西日本の鈴木 祐司氏は述べる。

ソリューション

DDIは、気付くことが難しい標的型攻撃やゼロデイ攻撃をネットワーク上のふるまいから見つけ出し、早期に対処し被害の深刻化を防ぐことができる製品。侵入からC&C通信の開始という一連の攻撃フェーズにおいて、不正なファイルや通信、管理ツールを悪用した攻撃などを発見することができる。また、田原市が評価したように、DDIをほかの製品と連携させることで、さらに強固な対策を行うことが可能だ。

DDIの導入に当たっては、トレンドマイクロのパートナーが提供するサービスを利用するという選択肢もある。田原市は、富士通エフサスが提供する「FUJITSU Security Solution ウイルスふるまい検知サービス」を採用することにした。DDIを使った監視やレポーティング、脅威検知後の対処までをカバーした月額制のサービスとして導入することで、初期投資の抑制と運用負荷の軽減を図るためだ。特に自治体は、リソースの観点から専任のセキュリティ担当者を置くことが難しい上、数年単位で異動が発生し、ノウハウを蓄積していくことが困難という事情があるが、このサービスを利用すれば負担を増やすことなく、安全性を高められると好評だ。

愛知県田原市のネットワーク構成イメージ

導入効果

現在、DDIの監視対象となっているのは、外部と接続のあるインターネット系ネットワーク、および、LGWAN上の約800台の端末。市庁舎に加え、支所などの出先機関や市立小中学校で職員や教員が利用している端末が含まれる。「インターネットとの接続は、愛知県の情報セキュリティクラウドを経由しますし、閉域網であるLGWANも安全性が高いといわれています。しかし、それでも脅威の侵入を100%防ぐことができるとは言い切れません。市民サービスに支障を及ぼすリスクを考えれば、どこまでも万全を期すことが、我々のミッションだと考えています」と小久保氏は強調する。

選定時に評価したDDIとアライドテレシスのSES、そして、Corp.との連携もすでに実装されており、DDIを中核とする、より強固なセキュリティ対策が実現。本格運用開始後に重大な脅威を検知した報告はないが、仮に重大な脅威が検知されても、問題を自動的に局所化し、迅速かつ的確な一次対処を行える環境が整っている。

「『餅は餅屋』という言葉の通り、ネットワーク制御のアライドテレシス、セキュリティのトレンドマイクロと、スペシャリストによる密接な連携によって、田原市様にはより大きな安心感がもたらされています」と鈴木氏は語る。

今後の展望

田原市のセキュリティにおける今後のテーマは、職員一人ひとりのセキュリティリテラシーを向上することだという。「仕組みと人、どちらかが欠けてもセキュリティ上のリスクになりえるからです」と小久保氏は言う。

安全な市民サービスを提供するために、最新の技術を活用して、システム全体でセキュリティを向上した同市の取り組みは、ほかの自治体にとって非常に有効なリファレンスとなるはずだ。

※ 記載内容は2017年10月現在のものです。内容は予告なく変更される場合があります。