2024.12
テレワークの導入に伴い、エンドポイント
セキュリティの強化と管理負荷軽減を実現

会社概要と直面した課題

　ANN/テレビ朝日系列の一員である北海道テレビは、多くの人気テレビ番組やVOD（ビデオ・オン・デマンド）などのサービスを制作・提供しているほか、地域イベントの支援など幅広い活動を展開し、北海道の魅力を発信する役割を担っています。

　地域に密着し、常に最新の情報を発信している北海道テレビも、コロナ禍の影響により全社的にリモートワーク環境を整える必要に迫られたと言います。しかし、従来のVPNを利用したリモートアクセスでは、認証情報やアクセスログの管理ができず、セキュリティリスクが高まっていました。また、社員のITリテラシーの問題や、テレワークによって個人端末の社外利用が増えることからデータ漏洩（ろうえい）のリスクも懸念されていました。

「当時のVPNはパスワード認証など簡易的な仕組みしかなく、管理がしにくい状況でした。さらに、第三者から社内システムに侵入されるセキュリティリスクも存在していたため、セキュリティを根本から再検討することになりました。そこで、いくつかあるセキュリティポイントの中で、まずは端末に導入しているセキュリティソフトを見直すことから始め、振る舞い検知に対応していないシグネチャベース型のウイルス対策ソフトから、次世代型のNGAVやEDRにリニューアルすることになりました」（二階堂氏）

導入までのプロセス

　過去に複数導入していたセキュリティ製品には、それぞれ課題があったと言います。

「過去に導入していた他社製品は、日本語に対応していないなど使い勝手が悪く、部員からの評判もよくありませんでした。何かを調べようとキーワード検索をしても英語のトップページに飛ばされ、目的の情報が探せないという使いにくさがありました」（二階堂氏）

　そのため、今回の次世代型のセキュリティソリューションを選定するにあたっては慎重を期したそうです。

「当時EDRとして世に出ていた製品は、ある程度、網羅する形で検討しました。さらに製品の説明を受けた上で絞り込み、4社の製品でトライアルを実施しました。機能的に従来のシグネチャベース型のセキュリティ製品とは違うものになるので、選定にあたっては、中身や操作性にも注意して確認しました。その際、EDRの機能とアンチウイルスの機能を一つの製品で統合し管理できるかも重要なポイントとして考えていました。最終的に、実際に使ってみて部内のメンバーからの評判がよく、コスト感がよかったところでCybereasonの導入を決めました」（二階堂氏）

　Cybereason EDRやNGAVと併せて、MDR（脅威監視対応サービス）を導入した理由について以下のように語ります。

「製品を統合して管理したいという考え方があったのと、振る舞い検知やマルウェアの侵入を前提とした対処を確実にするためにNGAVとEDRの2つの機能はぜひ入れたいと思っていました。また、情報システム部の社員も異動などで入れ変わるので、その都度、ウイルスやマルウェアの除外方法や必要な操作を逐一共有することが難しかったのに加えて、最近はユーザーの手に負えないレベルまでセキュリティリスクが高まっていることを自覚していました。そこでMDRを導入し、ある程度管理を任せれば運用負荷の軽減につながるのではと考えました。その上で比較的手の届く範囲のコストで実現できそうだったので、実際に使ってみようと思いました」（二階堂氏）

導入の際に苦労した点

　Cybereasonの導入にあたっては、上層部への説明が大変だったと二階堂氏は語ります。

「最近はアルファベットのセキュリティ用語がどんどん増えてきていますが、それに対して常に網を張ってる人ばかりではありません。いきなりEDRやNGAVと言っても伝わらないので、セキュリティ用語の解説や稟議書に添付する資料の説明を何度も行う必要がありました。また、会社の経営陣への説明も、必要最低限の情報で、やさしくかみ砕いて行ったために非常に労力がかかりました」（二階堂氏）

　しかし大事なところなので、慎重に説明をしたそうです。
　また、Cybereasonの導入に際しては、導入初期だけに必要な作業があったと言います。

「Cybereasonのインストールに関しては、 Active Directory ^※5からバッチファイルを配布するような形でスムーズにできました。導入後は振る舞い検知により、今まで検知できなかった脅威も検知できるようになりましたが、放送局は独自のプログラムやシステムを使っている事情があるため、正規のプログラムでもウイルスと判定されてしまうケースがありました。セキュリティ的にはしっかりしてるという裏付けにはなるのですが、その分、業務用プログラムをウイルスと判定しないように消し込みをする作業が必要となり、導入初期はその作業だけ少し手間取りました」（二階堂氏）

　初期導入時に誤検知の消し込みを丹念に行ったおかげで、今は誤検知が発生せずスムーズに運用できていると言います。

※5 Active Directory（アクティブディレクトリ）とは、ネットワーク上のユーザー、コンピューター、プリンターなどのリソースを一元的に管理するための仕組みのこと。

 サービス導入の効果

　Cybereason EDRとNGAVの導入によるセキュリティの強化を、目に見える形で実感しているそうです。

「プログラムや不正な侵入者のネットワーク活動、実行プロセス、ファイルの書き込み状況などを監視する『振る舞い検知』ができることで、従来よりも高水準でリスク判定がされます。また、その結果が『Malop^※6』という視覚的に分かりやすいGUI（グラフィカルユーザーインターフェース）で表示されることもメリットでした。さらに、ランサムウェア対策が使えることも恩恵の１つで、非常に大きな効果があったと感じています」（二階堂氏）

　また、管理業務の負荷も軽減されたと言います。

「以前は1日に数回セキュリティソフトを確認する必要がありましたが、今は管理画面を見ることも少なく、管理にほとんど手間がかかっていません。実際に脅威を検知したというメールが飛んできても検知した根拠が全部管理画面に載っているので、ドロップダウンメニューで実行防止するのか、隔離するのか、除外するのかを選ぶだけなので、かなり業務負荷が減ったと思います。また、未知の脅威だった場合に以前はネットで情報を検索するのに時間を費やしていましたが、現在はそうした作業もほとんどいらなくなりました」（二階堂氏）

※6 Malicious Operationsの略で悪意のある一連の攻撃を表すもの。EDRによって取得したログを横断的に分析し、不審な振る舞いや脅威を特定、それらの相関分析を行い、複数の攻撃性の高い振る舞いや脅威を1つのサイバーセキュリティインシデントとして捉え、その全体像を可視化した状態を指す。

　さらに、MDRについても導入して良かったと語ります。

「月1回脅威を何件検知したかをレポートとして出していただけますし、必要なケース情報はナレッジベースで検索できます。サポートは全て日本語にも対応しているので、管理者が把握しなければいけない情報の検索や作業の時間は、間違いなく改善されていると思います。重大なインシデントの可能性がある場合にも、夜間や休日に対処する必要がなく自動的に事故を防いでいただけるので、非常に負荷が軽減されていると思います。そういう点でもEDR、NGAV、MDRは全て導入して本当に良かったです」（二階堂氏）

　また、ソフトバンクの提案やアフターフォローにも満足いただけているとのお言葉をいただきました。

 今後の展望

　北海道テレビでは今後もセキュリティ強化を進めていく予定だと言います。

「エンドポイントのセキュリティ強化については、Cybereasonの導入によって一定の成果が得られたと思っています。しかし、テレワークの実施にはほかにも、クラウドから業務リソースにアクセスする部分やネットワークの部分のセキュリティ強化が必要だと考えています。
そこで本社の業務リソースへのアクセスをVPNからSASE^※７に変えて、より強固なアクセス制限をかけると共に、ユーザーの利用状況の把握や第三者による操作の痕跡確認をするためアクティビティの取得を目指して、セキュリティ強化とテレワーク環境の再構築を行っている最中です。さらに、デバイスについてもローカルにデータが残らないデータレスの仕組みにするため、データは基本的にクラウドにアップロードする形で、紛失時に第三者に情報漏洩しないような仕組みに変えています」（二階堂氏）

　ほかにも社外アクセスを考慮し、IPリーチャブル^※8となっている各システムを再分類、社内ネットワークセグメントの再構築なども予定しており、セキュリティリスクをさらに低減する予定だと言う北海道テレビは、エンドポイントセキュリティの強化を皮切りに、全社的なセキュリティレベルの向上を目指しています。

※7  SASE（Secure Access Service Edge）とは、IT環境におけるセキュリティ機能とネットワーク機能を1つのクラウドサービスに統合させるという、新たなセキュリティフレームワークの考え方です。
※8 IPリーチャブル（IP Reachable）とは、ネットワーク上で特定のIPアドレスを持つデバイスやホストが、他のデバイスやホストからアクセス可能な状態にあること。