由利本荘市

2005年に1市7町が合併し、秋田県内最大面積の市として誕生した由利本荘市。神奈川県の半分に相当する広大な地域で行政サービスを提供するため、市内各地に支所を配置している。

従来は、会議に車で片道1時間をかけて移動してくる支所長も多かったという同市だが、コロナ禍によるテレワークの重要性の高まりを受け、「Microsoft 365」を導入。チャットやオンライン会議の活用で約1500人の職員同士が遠隔でもコミュニケーションを行える環境を整えた。これにより職員の働き方改革が大きく前進。会議参加にともなう移動時間やコストの削減などを実現している。

一方、セキュリティ面では新たな懸案事項が浮上していた。
庁内からMicrosoft 365にアクセスする方法としては、LGWAN接続系からMicrosoft 365の接続のみをローカルブレークアウトする方法を採用。業務システムの一部をインターネット接続系に移す「βモデル」ではなく、LGWAN接続系に閉じてセキュリティを確保する「αモデル」の延長とした。「ゼロトラストに向けた準備を行うことなくβモデルへ移行することは危険だと考えています。準備が整うまで、業務端末は基本的にLGWAN接続系に置いておきたいと考えました」と由利本荘市の今野 薫氏は理由を語る。

ただ、このローカルブレークアウトは既存のセキュリティ対策で想定していないものだった。EPP（Endpoint Protection Platform）に「Trend Micro Apex One™ SaaS」、内部対策に「Deep Discovery™ Inspector」を導入していたものの、より環境横断的な現状可視化の方法が求められるようになっていたという。

自治体が住民サービスの拡充と働き方改革を推進していく上では、インターネット接続を前提としたDXが欠かせない――。これが同市の考えだ。その状態で業務の安全を守るには、3層分離モデルを軸とした境界型セキュリティでは不十分なこと、また将来的には全体をカバーするゼロトラストモデルへの移行が必要であると考えていた。
「3層全体を視野にいれた継続的なインシデント監視はそのための第一歩となるものです。同時に、既存業務がある中では、それを最小限のリソースで効率的に回せる仕組みが必要でした」と今野氏は述べる。

この方針の下、同市が導入したのが「Trend Vision One™」だ。
具体的には、システム更改に合わせて3層すべてにトレンドマイクロのEDRを追加導入。その際、Trend Micro Apex One SaaS、Deep Discovery Inspectorを含めたアクティビティデータを統合的に収集・管理するXDR（Extended Detection and Response）の仕組みとして同時に採用した。

「EPP、EDR、そしてXDRを同時に提供しているベンダーは多くありません。有事の問い合わせ一本化、かねて使い慣れたユーザーインタフェースなども考慮するとトレンドマイクロ製品が良いと判断しました」と今野氏は採用理由について話す。

Trend Vision OneはXDRの要を担うコンソール製品。トレンドマイクロおよびサードパーティのセキュリティ製品との連携によって、エンドポイントやサーバ、メール、クラウドなど多様なレイヤーのアクティビティデータを一元的にモニタリングできる。

緊急性・重要性の高いアクティビティデータを自動で選別し、わかりやすいダッシュボードで表示する。また、高度な相関分析が行えるほか、「Workbench」の機能を使えば、単体では判定が難しいアクティビティを前後のコンテキストも含めて確認できる。そこからドリルダウンして脅威の侵入経路を突き止めたり、被害拡大を未然に防いだりすることが可能だ。

Trend Vision Oneの利用開始からまだ日が浅いが、すでに様々なことが可視化されている。
「例えば、市内の水道管を管理するシステムを展開した際にアラートが表示されました。Workbenchでドリルダウンしたところ、インストーラが実行した圧縮・解凍プロセスを『ランサムウエアの疑いあり』と判定したもので、危険性はないことがわかりました。複数製品を個別に見なくても起きた事象をトレースでき、安全かそうでないかを確認できるのはとても助かります」と今野氏は語る。

職員のブラウザのバージョンが古いことによるリスクを検出したこともある。これは組織全体のリスク値を表示する「Executive Dashboard」で、数値が急に上がったことから発覚したものだという。その際は当該職員に連絡した上で、遠隔から更新をかけて速やかに対処した。
さらにTrend Vision Oneは、トレンドマイクロが有する脅威インテリジェンスに基づいたインシデント検出も行える。これについては、ある取引先企業で起こった情報漏えいに起因して、一部職員のメールアドレスがダークウェブ上に流出していることが検出されたという。Trend Vision Oneの提案に基づき、パスワード変更を実施した。

「Trend Vision Oneを使い始めて、見えていなかったことが意外に多いことに気付かされました。そのような場合も、アラートメールのURLをクリックするだけで詳細確認に進めます。SOC業務を遂行する上で、非常に役立つコンソールだと思います」と今野氏は言う。
これまで重大インシデントは発生していないが、統合的な可視化によって安全性を高められていることを同市は実感している。同時に、それを多大な工数をかけずに実現できている点も重要なメリットといえるだろう。

今後はより多くのセキュリティ製品をTrend Vision Oneと連携し、可視化の領域を拡大していく計画だ。効率的なインシデント監視が可能になれば、CSIRTの活動にも注力しやすくなる。
SASE（Secure Access Service Edge）の活用なども検討しながら、段階的なゼロトラスト化を進めていく考えだ。
「リスクのモニタリングとコントロールを高いレベルで実現でき、それを少ないリソースで効率的に回せるようになった暁には、β’モデルやゼロトラストへの移行も視野に入ってきます。Trend Vision Oneは、そのための重要なピースだと位置付けています」

• 記載内容は2023年8月現在のものです。内容は予告なく変更される場合があります。