PC260台をほぼ1人で守る物流企業が「ランサム対策基盤を1カ月で刷新」でやったこと
ランサムウェアやサプライチェーン攻撃による深刻な被害が相次ぐ中、中堅・中小企業にも取引先から高度なセキュリティ対策が求められている。だが、対策ツールが増えるほど運用負荷も高まる。「ひとり情シス」という限られた体制で、この課題にどう向き合うべきか。
創業80年の歴史を持つ南総通運は、千葉県を中心に地域密着型の総合物流企業として事業を営む。顧客ごとに最適化した「オートクチュール物流」を強みとし、従業員約700人を要し、PC約260台を運用しながらデジタル化に取り組んでいる。
一方で、ランサムウェアやサプライチェーン攻撃の脅威が高まる中、情報資産の保護はもちろん、取引先から求められるセキュリティ水準への対応も重要な経営課題となっていた。だが、同社の情報システム部門は3人体制で、そのうち2人は開発業務が中心だ。実質的にシステム運用管理を担うのは1人のみで、セキュリティ監視やインシデント対応に十分なリソースを割くことは難しい状況だった。
こうした制約がある中、同社は既存のセキュリティツールを刷新する決断を下す。その背景にあった課題とは何か。また、新たなソリューション導入によってどのような効果を得たのか。その取り組みを聞いた。
対策は「必要最低限」、取引先からの要求とコストの板挟み
近ごろはサプライチェーンの弱点を狙う攻撃が増加しており、取引先からセキュリティ体制を厳しく問われるケースも少なくない。
こうした状況を踏まえ、南総通運は以前からEPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)を運用し、事業成長を支えるセキュリティ対策を進めてきた。だが、その一方で現行の対策だけでは十分とは言えないことも認識していた。
同社で情報システムを担う林儀雄主幹は「当時の対策は必要最低限のレベルでした。より強固なセキュリティ体制を目指し、SASEの導入や高機能なプラットフォームへの移行も検討しました。ですが、投資対効果が見えにくく、コスト面でも現実的ではありませんでした」と当時の状況を語る。
将来的な包括的セキュリティ基盤の構築を見据えつつ、同社がまず優先すべき施策として着目したのが、次の2つの対策だった。
クライアントPCのバックアップ
業務データは社内ファイルサーバで管理し、そのバックアップ体制も整備していた。だが、クライアントPC単位でのバックアップまでは取れておらず、一部では重要な情報がPC内に保存されているケースもあった。そのため、万が一、PCがマルウェアに感染して利用不能になった場合、データの消失や端末の復旧に支障を来すリスクが懸念されていた。
持ち出しPCの紛失/盗難に備えたリモートワイプ
また、持ち出しPCの紛失や盗難による情報漏えいに備え、遠隔からデータを消去できる仕組みも必要だった。同社では特定ベンダー製PC(Dynabook)の管理機能を利用していたが、設定や運用に手間がかかるうえ、リモートワイプという単一の用途に対して費用対効果に課題を感じていた。
また、セキュリティ運用の負荷も問題だった。「Cisco Umbrella」や「Palo Alto Networks」のVPN製品やEDRなど複数のセキュリティツールを導入していたものの、日々発生する大量のアラートへの対応に限界を感じていた。
多忙な現場では監視機能を十分に活用できず、運用が形骸化するリスクもあった。特に、膨大なアラートの中から本当に対応すべき脅威をスピーディーに見極めることは難しく、限られた人員で効率的なセキュリティ運用を実現するには限界があった。
脅威の状況はレポートで把握できるものの、インシデント発生から報告までにタイムラグがあり、迅速な対応には限界があった。「月次レポートでは、場合によっては対応が1カ月近く遅れてしまう可能性があります」と林氏は語る。こうした背景から、脅威を早期に検知し、必要な対策を即座に講じられる体制が必要だった。
同社が目指していたのは、ランサムウェアなどによってPCが使用不能となった場合でも、スピーディーに復旧できる仕組みの実現だ。また、PC更新時に発生するOSやアプリケーションの導入・設定作業についても、可能な限り負荷を軽減する必要があった。
だが、実質1人体制で運用を担う現状では、これ以上の業務負荷の増加は避けなければならない。セキュリティツールの導入はその解決策として進められてきたものの、結果としてアラート対応などの運用負荷が増大し、効率化を目指した取り組みが新たなジレンマを生む構図となっていた。
「約300台を1人で回せる」検証環境でつかんだ確かな手応え
セキュリティ強化と運用負荷の軽減を検討する中で、同社が利用していたPalo Alto製品の保守期限が迫っていたことから、ツールの刷新を含めた見直しが進められた。従来製品の継続か、新たなソリューションへの移行かを比較した結果、コストとカバー領域の両面で優位性を示したOpenTextのソリューションが候補として上がった。
「営業担当者が何度も来社し、詳細な説明をしてくれました。導入後のサポート体制にも安心感がありました」と林氏は振り返る。
同氏自ら検証環境でテストを実施し、エージェントの入れ替えを含む全社展開の手順も確認した結果、「約300台規模の環境でも一人で運用可能」との手応えを得た。こうした検証を経て、同社はOpenTextの「Core Endpoint Protection」「Core Endpoint Backup」「Core MDR」の3製品を採用した。
中でも運用負荷の大きいセキュリティ監視については、「Core MDR」が大きな役割を果たしている。同サービスは24時間365日のSOC監視とインシデント対応を提供するマネージドサービスであり、日本国内ではパートナー企業・株式会社アクトによる日本語サポートも安心材料となった。
これにより、これまで多くの時間を要していたアラート対応は外部SOCによって高リスク案件へと絞り込まれ、インシデント対応の迅速化と遅延リスクの低減が実現した。
ただし、Core MDRは侵入後の攻撃活動を検知・対応する仕組みであり、予防的にブロックするEPPとの連携が前提となる。同社が従来EPPから移行した「Core Endpoint Protection」は、ファイルやプロセス単位でマルウェアを検知するエンドポイント保護製品で、既知・未知の脅威に対してリアルタイムで防御する。
この多層防御により、最新の回避技術を持つマルウェアはまずEPPで検知・排除され、すり抜けた脅威をCore MDRがプロセスやファイル、ネットワーク通信の監視によって捕捉する構成となっている。
Core MDRはエンドポイントに加え、500種類以上のセキュリティ製品からログを収集し、攻撃の可視化やファイルレス攻撃の検知にも対応する。
また、振る舞いベースの分析機能によって疑わしい挙動を自動でグレー判定し、その時点でファイル変更履歴を記録する。悪意ある振る舞いと判断されればブラック判定として処理し、ファイルを攻撃前の状態へ自動的にロールバックできる。これにより、ランサムウェア感染時でも迅速な復旧が可能となる。こうした「検知と復旧を一体化したエンドポイント防御」は、近ごろのEPPおよびEDR領域における重要なトレンドの一つとなっている。
加えて、林氏が課題としていたPCのバックアップについては「Core Endpoint Backup」を導入した。同製品は、ユーザーの業務を妨げることなくバックグラウンドでバックアップを実行し、データをクラウドに保管する仕組みを備える。これにより、利用者に負担をかけずにPC全体のバックアップが可能となった。
「PCの更新時に発生する設定作業なども、バックアップを活用することで効率化できると期待しました」と林氏は語る。
単体機能では変わらなくても、「複数機能の統合」で総コストを削減
新たなセキュリティ環境の運用は2025年10月に開始された。3つのソリューションの導入から展開までに要した期間は約1カ月と短期間だったが、その背景には既存のIT資産管理ツール「SKYSEA Client View」のファイル配布機能を活用し、多数のPCへエージェントを一斉展開できたことがある。
「全体の約9割のPCには半月ほどで展開できました。自動展開できなかった一部端末のみ手作業で対応しています。従来はクラウドベースでエージェントレスの環境だったため、削除作業も不要で、移行はスムーズでした」と林氏は振り返る。
また、MDRの導入ではEDRやXDRで課題となりやすい誤検知に対するチューニング作業が不要で、導入プロセス全体の負荷軽減にもつながったという。現時点では軽微なバックアップエラーを除き、重大なトラブルやインシデントは発生しておらず、運用負荷の軽減効果が表れている。
林氏は今回の導入について、「既存ツールに問題があったというより、運用負荷や監視の視認性、サポート体制を改善する目的だった」と評価する。単体機能で見ればコストは大きく変わらないものの、複数機能の統合により既存ツールを削減でき、結果として総コストでは高い費用対効果を実現したという。
一方で、この取り組みをゴールとは捉えていない。「将来的にはSASEによる持ち出しPCの安全な接続や、NDRによる内部横展開の検知も検討しています。経営層の理解も進み、これまでコスト面で見送っていた対策にも再び取り組める環境が整ってきました」と語る。
さらに、「サプライチェーン企業のセキュリティ水準が重視される中で、現状の対策レベルに自信を持てる体制を整えられました。今後もより高いレベルのセキュリティを追求し、顧客の安心・安全に貢献したいと考えています」とコメントする。
IT人材不足が深刻化する一方で、セキュリティ分野ではマネージドサービスやBPO(Business Process Outsourcing)の活用が進み、運用負荷を前提とした設計思想が広がっている。こうした環境では、機能比較だけでなく「いかに運用工数を削減できるか」という視点でのツール選定が重要となる。本事例はその判断軸を考える上でヒントとなるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.