総合建設会社の熊谷組は、少人数の情報システム部門でグループ全体のITインフラを管理している。夜間・休日の監視体制に「空白の時間帯」という課題を抱えていたことが大きなリスクになっていたことを受け、CrowdStrikeのMDRサービス「Falcon Complete」を導入。専門家チームに監視・対応を委ねることで、担当者の運用負荷を大幅に削減し、より高度な脅威にプロアクティブに対応できる体制を構築した。2023年から2024年にかけての年末年始期間にランサムウェア攻撃を受けたことが導入計画を大幅に加速させる要因にもなったという。同社が考えるサイバーセキュリティの現実と最適解とは。
長年課題だった「平日日中のみ」のセキュリティ監視
熊谷組の情報システム部門は、管理職を含め5人体制という少人数でインフラ、セキュリティからアプリケーションまでを管理している。そのため、社外のリソースも使いながら効率的な業務体制を敷く必要がある。
セキュリティ領域の施策に目を向けると、エンドポイントの監視には従来型のアンチウイルス製品を導入し、グループ会社のシーイーエヌソリューションズに監視を委託していた。ただし、常駐しているシーイーエヌソリューションズの担当者はセキュリティ業務専任というわけではなく、ITインフラの管理やヘルプデスク業務も担当しており、アラートが上がってきたら対応するというイメージだったという。結果として、エンドポイントの監視は平日の日中に限られていた。熊谷組でセキュリティを担当する経営戦略本部 DX推進部 ITソリューショングループ 係長の眞鍋準次氏は、当時の課題を次のように振り返る。
「限られたリソースで24時間体制を敷くのはコスト的にも難しく、これまで大きな問題がなかったこともあり、対策を先送りにしてしまっていたというのが率直なところです。しかし夜間や休日の『空白の時間帯』にリスクがあることはもちろん認識していました。既存のアンチウイルス製品のライセンスが2024年に切れる予定だったため、そのタイミングで手を打つ計画でした」
社内の人的リソースに限りがある中で、高度化するサイバー攻撃のログを分析し、適切に判断できる専門家を自社で育成・確保し続けるのは難しい。そこで同社は新しいエンドポイント保護ソリューションの選定と、24時間365日対応のSOC(Security Operation Center)サービスの導入検討を本格化した。眞鍋氏は「自分たちが不在でも対処できる体制が絶対に必要だと考えていましたので、製品の導入だけでなく、高度な専門知識を持つチームによる監視・運用サービスまで含めてアウトソースするというのが必然の選択肢でした」と話す。
決め手になったのは同業他社の評判と「メーカーSOC」であること
検討の結果、熊谷組はCrowdStrikeのXDR「Falcon」のMDRサービスであるFalcon Completeを導入した。選定プロセスでは、Falcon CompleteのほかにCybereasonのエンドポイント防御プラットフォームやMDR、Palo Alto NetworksのXDR(Extended Detection and Response)製品「Cortex XDR」が候補に挙がっていた。熊谷組は先行してPalo Alto NetworksのSASEソリューション「Prisma Access」を導入していたため、特にCortex XDRについては、ネットワークからエンドポイントまで統合的に監視するという点で大きな親和性があり、有力な候補だったという。しかし、最終的な選定のポイントになったのは、安定した運用と運用業務の負荷軽減にどれだけ貢献してくれるかだった。眞鍋氏は次のように説明する。
「Cortex XDRは管理画面が英語で、担当者全員がスムーズに使えるかという点で不安があったのですが、Falcon Completeは日本語化された管理画面のUIが直感的で分かりやすかったのが評価ポイントでした。また、SOCサービスが販売パートナーによるサードパーティーSOCしかないのもCortex XDRの懸念点でした。サービス提供するパートナーが対応できないトラブルやインシデントが起これば結局メーカーに頼るわけで、問題解決に時間がかかる可能性があるのはクリティカルなリスクだと考えていました」
製品を熟知した専門家が直接対応してくれる「メーカーSOC」であることを前提として、建設業界における導入実績や、同業他社との直接の情報交換による口コミ情報などを踏まえ、最終的にFalcon Completeの採用を決めたという流れだ。
ランサムウェア攻撃がID保護の追加とプロジェクト全体の加速を促す
2023年12月にはCrowdStrikeの導入を決定し、当初は既存のアンチウイルス製品のライセンスが切れる2024年夏から秋ごろの導入を予定していた。しかしMDRの導入方針が固まった直後、2023年末から2024年初にかけての年末年始に、まさにエンドポイント監視の「空白の時間帯」を狙われる形でランサムウェアによる侵害が発生した。このインシデントではID/パスワードの窃取も確認されたことから、エンドポイントだけでなくアイデンティティ保護の強化も急務となった。
これを受け、当初の計画にアイデンティティ保護ソリューション「CrowdStrike Falcon Complete for Identity Threat Protection」の導入を追加することも決めた。さらに、MDR導入の必要性を再認識した経営層の後押しもあり、プロジェクト全体を大幅に前倒しすることを決断。結果として、Falcon CompleteとIdentity Threat Protectionは、当初の予定より約4カ月早い2024年4月から運用を開始することになった。
また、前述したPrisma Accessが生成したネットワークのログを有効に分析・活用できていないという課題もあった。そのためSIEMの導入も長年の懸案になっており、CrowdStrikeが「CrowdStrike Falcon Next-Gen SIEM」をリリースしたタイミングで導入を決めた。眞鍋氏は「エンドポイントとネットワークのログを相関的に見てもらい、不自然な通信や挙動を適切に監視・管理できるようになることが理想でした。これもFalcon Completeチームがやってくれるということで、SIEMも入れました」と説明する。こちらは2025年1月に運用開始した。
誤検知対応はゼロに、プロアクティブな脅威対応体制がもたらした「安心感」
導入フェーズでは、既存のアンチウイルス製品からのスムーズな移行が課題だったが、アンインストールとインストールのプロセスをバッチ化し、資産管理ツールで配布することで、大きなトラブルなく計画通りに展開を完了させたという。
新たなエンドポイント保護体制が本格稼働し、熊谷組が実感している最も大きな効果は、運用負荷の劇的な軽減だ。従来、業務で利用する正規のツールやプロセスが誤検知された場合、それが本当に安全なものか調査し、手動で除外設定を行う必要があった。眞鍋氏によれば、この調査と判断に1.5時間ほどの工数を要していたという。
「CrowdStrike導入後は、誤検知かどうかの判断も含めて、全てFalcon Completeのチームが対応してくれます。『これは問題ないので除外リストに追加しました』といった報告が来るだけなので、調査と判断に時間を取られることがなくなりました。これは非常に大きな変化です」
社内のエンドユーザーにとってもメリットは大きい。これまでは、誤検知されてからIT部門の調査が終わるまで業務が止まってしまっていたが、現在は専門チームが迅速に対応し、対応完了までの見通しも熊谷組側に共有するため、ユーザーに「あと30分ほどで復旧します」といった具体的な見通しを伝えられるようになった。
実際に休日や夜間にインシデントが発生したわけではないが、「ランサムウェアのような挙動を検知してブロックした」という報告が定期的に届くようになり、万が一の場合でも専門家チームが止めてくれるという安心感につながっている。眞鍋氏は「多段階の防御体制が24時間365日機能している。たとえ何かを突破されても、その先で止められるという信頼感があります」と評価する。
高度化・巧妙化するサイバー攻撃に対し、社内のリソースだけで立ち向かうには限界がある。眞鍋氏は、「自社で24時間365日体制のSOCを構築・維持することを考えれば、高品質なMDRサービスを利用する方がコストパフォーマンスは高い」と断言する。今回のMDR導入は、その現実を踏まえた合理的な判断だったと言えそうだ。
今後の展望として、熊谷組は認証基盤の強化を次のテーマに掲げている。現在はIDとパスワードによるPCログオンが主流だが、これを生体認証に切り替えることで、ユーザーの利便性を損なうことなく、セキュリティレベルを向上させる計画だ。「パスワードの複雑化に伴い、ログインできないといった問い合わせが増加していました。生体認証やSSO(シングルサインオン)の活用を広げ、ユーザーがより快適に、かつ安全にシステムを利用できる環境を構築していきたいと考えています」