セキュリティ対策でモノを言うのは「スピード」、20秒以内で検知可能なローソン：セキュリティ対策事例インタビュー（1）（1/2 ページ）

　ローソンが新たなセキュリティ対策を導入した。「脅威の侵入を100％防ぐのは不可能」という前提に立ち、脅威の検知と一次対応を速やかに実行するためのツールを導入。その結果、社員が利用する約7000台のPCから、20秒以内に感染端末を検索する体制を作り上げた。

　導入したのは米TaniumのEndpoint Detection and Response（EDR）製品「Tanium Endpoint Platform」。ローソンのセキュリティ対策を担う高原理彦氏に導入の狙いと経緯を聞いた。

店舗展開に欠かせないセキュリティ対策、経営層の理解を得た

ローソンのセキュリティ対策を担う業務システム統括本部 システム基盤部 部長兼業務システム統括本部 CROを務める高原理彦氏

　「ローソン」をはじめ、「ナチュラルローソン」や「ローソンストア100」など、さまざま形態で国内に約1万3000店舗を展開するコンビニエンスストア業界大手のローソン。チケット販売や金融サービスにも事業を広げている同社にとって、セキュリティは、ビジネスを推進し、会社を経営していく上で欠かせない。全社的なリスク管理の一環としてセキュリティを位置付けており、組織、プロセス、テクノロジーという3つの側面から総合的に対策を推進してきた。

　「セキュリティは、『この対策を導入したから売り上げはこのくらい上がります』という性質のものではない。そこで、国内外に発生したセキュリティインシデントの情報と社内で起こっているファクトを定期的に経営会議の場で経営層に報告、共有し、セキュリティ投資の必要性について理解を深めてもらってきた」と高原氏は述べる。

多層防御を展開してきたからこそ分かった「すり抜け」の存在

　高原氏は、このうち技術的な対策やプロセス面の改善を率いてきた。「ウイルス対策ソフトや暗号化製品の導入をはじめ、多層防御を一通り実施してきた」という。

　ローソンでは以前から、本社でフリーアドレス制を導入し、場所を問わずノートPCで仕事を進められる環境を整えてきた。オフィスの外でフランチャイズ店舗を回って指導に当たったり、新規店舗開発を行ったりと、外回りが中心の社員も多い。そうした社員が利用するPCを保護するため、各端末では管理者権限を利用しないよう設定し、USBメモリの利用をコントロールするといった具合に、基本的なセキュリティ対策を実施した上で、ウイルス対策ソフトなどを導入した。インターネット接続時には、VPN経由でいったん本社ネットワークに接続し、そこからプロキシ経由でインターネットに接続するという標準的な設計だ。

　しかし、サイバー攻撃は常に変化し、巧妙化している。ユーザーの心理を突いて侵入を試みる標的型攻撃も増加しており、どれほど対策を講じても完璧ということはない。

　ローソンでも、常にログ監視を行っているからこそ、深刻な事態にまでは至らないまでも、防御の網をすり抜けてきてしまう脅威が存在することを認識していたそうだ。「以前はこのような方策で対処できたが、今や100％全て防ぐことは無理。脅威が入ってくることはあるという前提に立ち、いかに素早く可視化し、短い時間で対処し、被害を最小化するかが重要だという形に、守りの考え方を変えなければならない」

　より徹底的な対策という意味で、PC側に一切データを保存しないシンクライアントを全面的に採用するという選択肢も考えたという。ただ「ローソンでは日本全国、津々浦々に店舗を展開しており、社員も全国を回っている。十分な速度で通信できる環境が整っていない場所もあり、環境に依存する方法は避けるべきではないかという意見があった」ことから、全てのPCにシンクライアントを採用することは見送った。

ポイントは「スピード」、侵入されることを前提に迅速な検知と可視化

　そこで同社が採ったのが、既存のセキュリティ対策を補完し、強化する方法だ。具体的には、サンドボックスやログ解析製品に加え、米Taniumが開発した「Tanium Endpoint Platform」の導入を決定した。

　ローソンでは、社員が利用するPCを保護するためにさまざまな多層防御を講じてきた。しかし、「数千というユーザーが日々利用していると、どうしてもすり抜けやヒヤリハットが発生する」。すり抜けてきたマルウェアをウイルス対策ソフトが検知、高原氏らITシステムチームがアラートを受け取ると、まずは端末をネットワークから隔離して拡散を防ぎつつ、端末を詳細に調査することになる。

　ただ、社員は全国各地だけでなく海外でも活動している。感染した端末が本社や首都圏ならばまだ出向いて対応することも可能だが、地方や海外の場合は対応が困難だった。しかも「店舗を回るスーパーバイザーは、必ずしもITリテラシーが高いとは限らない。『ウイルスが見つかったので検疫し、駆除してください』といった指示に従って作業してもらうのも難しい場合があった」と高原氏は述べる。

　さらにセキュリティ担当としては一次対処と同時に、どんなマルウェアに感染し、どの程度感染が広がっているか、どのような影響があったかを確認するため、端末の詳細なフォレンジック（痕跡調査）を進めなければならない。だが「証拠品」のPC本体を届けてもらうだけでも数日単位の時間がかかっていた。昨今の脅威は、中長期にわたって潜伏する一方で、感染・拡散自体は素早く短時間に実行する。そのような中で被害を最小化するには「スピード」が鍵であり、悠長に時間をかけてはいられない。

　「セキュリティ対策においては、とにかく早く状況を把握し、素早く意思決定を下すことが大切だ。スピードを高めるには何らかの仕掛けが必要だ」と考えた高原氏が注目したのが、エンドポイント検知／対応（EDR：Endpoint Detection and Response）製品だった。アンチウイルス製品をすり抜けてエンドポイントに感染する未知のマルウェアに備えるのがEDRだ。感染後の脅威の検出と早期の封じ込め、影響範囲や原因の調査、復旧作業を支援する機能を備えることが多い。

　ローソンでは2016年5月、複数のEDR製品を検証し、導入前実機検証（PoC）を実施して評価を実施。その結果、Tanium Endpoint Platformを採用することに決定した。「われわれがやりたいことと特徴が合致していた上、コストパフォーマンスに優れていた。さらに、独自の『Taniumアーキテクチャ』によって、非常に高速に検索できる点を高く評価した」

　Tanium Endpoint Platformでは、他の製品のようなハブ＆スポーク型ではなく、クライアント同士が通信を行って情報を伝えるリング型のアーキテクチャを採用し、高い検索性能と拡張性を実現している。ハブ＆スポーク型では端末の台数が増えたり、帯域に制限がある場合は、感染端末の検索だけでときに数時間といった時間がかかることがある。Tanium Endpoint Platformでは、10万台規模のシステムでも10〜20秒程度で検索が完了する（図1）。その上、リモートから隔離や再起動といったコントロールも可能だ。「検索するとすぐに情報が返ってくる上、ネットワークへの負荷が少ないことも評価した」。

　2017年1月から導入を開始。管理サーバをクラウド上に準備するだけで済み、ノートPCへのエージェントのインストールも「あっという間にできた」という。

図1　リング型アーキテクチャでエンドポイントの可視化に要する時間を20秒まで短縮した　出典：米Tanium