近鉄情報システム株式会社

近鉄グループの一員として、近鉄グループホールディングス株式会社（以下、近鉄グループホールディングス）や近畿日本鉄道株式会社（以下、近畿日本鉄道）を中心にグループ各社の情報システムの企画、開発、運用などを支援する近鉄情報システム株式会社（以下、近鉄情報システム）。

同社は現在、近鉄グループが推し進めるDX施策を支援しており、2023年10月にはそれまでホストコンピュータ上で運用してきた特急座席予約システムをAWSのクラウド環境に移行するなど、業界に先駆けて先進的なテクノロジーを積極的に導入・活用している。

グループ全体の情報セキュリティ対策については従来から実施していたが、2016年5月に三重県で開催された「G7伊勢志摩サミット（第42回先進国首脳会議）」を契機に、より一層のセキュリティ対策の強化を図るようになったという。

「G7伊勢志摩サミットでは近鉄グループが運営する施設が利用されたため、関係機関からセキュリティ対策に万全を期すよう要請がありました。そこで2015年に、それまで長年使い続けてきたトレンドマイクロのEPP（Endpoint Protection Platform）製品『ウイルスバスターコーポレートエディション』に加えて、インシデント対応の強化を目的にプレミアムサポートを新たに追加してエンドポイントセキュリティ対策の強化を図りました」

こう語るのは、近鉄情報システム技術管理部長中井昌樹氏。担当エンジニアが付くプレミアムサポートの導入によりインシデント対応の体制がより強化されたことで、インシデント調査のリクエストから対応までのスピードアップが実現したという。

これらの対策強化により2016年のG7伊勢志摩サミットは無事に終了し、その後も特に大きなサイバー攻撃の被害に遭うこともなかったが、2023年6月に再び同じ地で「G7三重・伊勢志摩交通大臣会合」が開催されることになった。

前回のG7伊勢志摩サミットからの7年間で、ランサムウェアなどのサイバー攻撃の脅威はより高まっており、あらためて最新のセキュリティ事情にマッチした対策の在り方を検討することになった。

中井氏によれば、その際に真っ先に課題として挙がったのが「エンドポイントセキュリティ対策」だったという。

「いわゆる『入口対策』『出口対策』については既にある程度強化していましたが、コロナ禍に各社でテレワーク環境を整備したことを考慮し、すり抜けてしまう可能性が高くなってきていると考え、脅威が内部に侵入することを前提とした対策が必要だと感じていました」

そこで白羽の矢が立ったのが、「EDR（Endpoint Detection and Response）」だった。EDRはエンドポイント端末の状態を常時監視し、未知の脅威や攻撃の予兆を素早く検知できるため、近年被害が続出しているゼロデイ攻撃やランサムウェア、潜伏型のマルウェアなどにも効果的に対処できると判断した。

早速同社は主だったセキュリティベンダー各社のEDR製品を複数ピックアップし、ベンダーからのヒアリングやそれぞれの機能を比較検討した上で選定候補製品を絞り込み、さらに構築した評価環境において各製品やSOCサービスについて具体的な検証を実施した。その結果、最終的に同社が選んだのがトレンドマイクロのEDR製品「Trend Micro XDR Endpoint Sensor」と、その運用・監視をトレンドマイクロが代行するSOCサービス「Trend Micro Managed XDR」だった。

さらにEPP製品もこれまでのオンプレミス型のものからSaaS型に切り替えて、トレンドマイクロの「Trend Vision One - Endpoint Security」を採用し、プレミアムサポートに関しても引き続き契約することにした。

エンドポイントセキュリティ対策に必要な製品・サービスをトレンドマイクロ製品で統一した理由について、近鉄情報システム技術管理部長尾礼司氏は「実効性のあるセキュリティ対策を実現するには、単体の製品・サービスが優れているだけではダメで、出入口対策から内部対策、SOCサービス、さらにはインシデント対応支援に至るまでの一連の対策が連動している必要があります。その点トレンドマイクロの製品・サービスは、脅威の検知から対応、インシデントの終息までの一通りを一括してお任せできると考えました」と説明する。

また近鉄情報システム技術管理部矢後友也氏によれば、Trend Micro XDR Endpoint SensorとTrend Micro Managed XDRは他社の製品・サービスより当社の運用環境に適していると感じたという。

「一定期間、評価環境に各製品とサービスを導入して、ホワイトハッカーの協力を得ながら実戦さながらの攻撃をいろいろ仕掛けてみましたが、Trend Micro XDR Endpoint Sensorは他社製品が検知できない攻撃でも検知できました。また他社のSOCサービスでは脅威を検知しても通知する基準に満たないということで連絡がないこともあったのですが、Trend Micro Managed XDRはそのようなことは一切なく、連絡が来ました。」

こうして同社はトレンドマイクロのエンドポイントセキュリティ製品・サービス群を選定、近鉄グループホールディングスが導入を正式に決定。半年間という短い期間で製品・サービスの導入だけでなく社内における運用プロセス設計も含めて、すべての導入作業を会合までに万全の準備を備えることができた。その過程においては、同社の要望が製品の仕様に新たに追加されたものもあったという。

「トレンドマイクロのSOCで緊急性の高い脅威が検知された際には、即座に該当端末をネットワークから隔離しています。その際にユーザー側に隔離されたことを通知する機能の追加をお願いしたところ、短期間のうちに製品の正式機能として実装していただきました」（長尾氏）

こうして2023年3月、EDRを含む新たなエンドポイントセキュリティの本番運用がスタートした。幸いにもその後は現在に至るまで、深刻な脅威が検知されたことはない。しかし、特定のアプリケーションや意図的にイレギュラーなシステム操作を行った際にはSOC担当者からすぐに異常検知の連絡を受けており、「本当のインシデントが発生した際にも検知して素早く連絡してくれる」という安心感が得られているという。

なお同社は今後、重要インフラ事業者（近畿日本鉄道）として来るべき大阪万博に備えるためにも、さらに強固な環境作りを目指していくとしている。これまで強化してきたエンドポイント対策に加えてSIEM製品を新たに導入し、広範な脅威の可視化・検知能力の強化を進めていく計画もあるという。加えて今後は業務システムのクラウド移行を進める方針であることから、クラウドセキュリティの強化も進めていくとしている。

これらの将来構想を実現する上でも、トレンドマイクロの製品・サービスの進化には今後も大きな期待を寄せていると矢後氏は話す。

「クラウドの利用拡大にはセキュリティの強化も不可欠で、仮想パッチを使ってサーバの脆弱性を保護するTrend Micro Deep Securityはその特効薬のような存在でした。当社では今後も積極的にクラウドの利活用を進めて行く計画もあるので、効果的にクラウド環境を保護できて使い勝手のよい製品が提供されてくることを期待しています。」