サービス
これまで可視化できなかったWeb経由の脅威を確実に検知して遮断
京王グループ約6,000台のPCを保護するBloxOne Threat Defense
お客様の課題
TEDのソリューション
導入製品
京王電鉄株式会社
経営統括本部
IT管理部 グループIT担当
田村 浩子 氏
京王電鉄株式会社
経営統括本部
IT管理部 グループIT担当
佐藤 賢一 氏
日本の大手私鉄の1社である京王電鉄株式会社では、社会的に重要インフラを担う企業として、グループ会社を含めたIT基盤におけるセキュリティ強化を継続的に推進しています。 そうした同社において課題として浮上していたのが、近年、急速に拡大しつつあるWebサイトを介したマルウェア感染と不正アクセスへの対処でした。 この課題を解決するために同社が採用したのが、InfobloxのDNSセキュリティソリューション「BloxOne Threat Defense」でした。
日本の大手私鉄企業であり、54社から構成される京王グループの中核企業を担う京王電鉄。近年ではシステム展開の迅速化やコスト削減、外部環境の変化への柔軟な対応等を目的にクラウドシフトを推進するとともに、AIやIoTを活用したデジタル化にも積極的に取り組んでいます。そうした“攻めのIT”の展開に注力する一方、“守りのIT”としてのセキュリティ強化にも継続して努めてきました。京王電鉄 経営統括本部 IT管理部 グループIT担当 課長の田村浩子氏は、「特に近年では、東京オリンピック/パラリンピック大会の開催に向け、交通機関等の重要インフラ事業者は政府からもセキュリティの強化が求められており、そうした要請に応える形で様々な取り組みを進めてきました」と語ります。
事実、2015年6月に「京王SIRT」を立ち上げ、京王グループを横断的にカバーするセキュリティ対策の実施に踏み出したのをはじめ、メールセキュリティソリューションの強化により、メールを介したマルウェア感染を削減するなど、様々な施策を講じるとともに効果を上げてきました。
「しかし、数年前から不正な通信を検知、分析していく中で、検索エンジンの検索結果の上位にマルウェア等を含む悪質なサイトを表示させ、詐欺サイトに転送したりマルウェアに感染させたりする『SEOポイズニング』と呼ばれる脅威に遭遇するケースが頻出し始めていました」と、経営統括本部 I T 管理部 グループI T 担当の佐藤賢一氏は説明します。
「さらに、前述したSEO ポイズニングの原因について調査を行いました。Webサイトを構成するものとしては、大きく2つに分かれます。OSなどのプラットフォーム部分とWeb アプリケーションです。セキュリティベンダー発行の調査資料にWeb アプリケーションについては、88.2%脆弱性があるという記載がありました。そもそも、現状の Webサイト側に安全性の問題があることが分りました。攻撃者により脆弱性のあるWebサイトは改ざんされSEO ポイズニングの原因の一つに結びつくと考えました。実際、URLフィルタ等のソリューションも導入していましたが、それだけでは対処が難しい攻撃が増加しており、より多層的な防御が可能な仕組みの構築が求められていたのです」(佐藤氏)
そうした課題を解決するものとして、同社が着目したのが、「DNSファイアウォール」でした。「DNSのログ監視が効果的であるとの情報を得て、さらに調査を進めていく中で、DNSファイアウォールの存在を知りました。DNSベースでトラフィックを制御し、不正なドメインに対するDNS通信を遮断するDNSファイアウォールであれば、これまで対処が難しかったWeb閲覧を介したマルウェア感染による情報漏えいを、事前に阻止できるようになると考えたのです。JPCERTの資料が特にヒントになりました。例えば、デリバリの攻撃段階でブロックできなかった場合、後日Infoblox側の脅威情報等が更新され、新たな不正通信を検知できれば、エクスプロイト、C&C、目的の実行において再度DNSのチェックができ、(JPCERT資料参照)デリバリの攻撃段階ですり抜けた不正通信がブロックできる確率が上がると考えました」と佐藤氏は語ります。
京王電鉄は「誤検知が少なく導入が容易で、かつ十分な検証(PoC)の期間を提供してくれること」(佐藤氏)の3点を要件に複数のDNSファイアウォール製品の比較検討を実施。最終的に選択されたのが、ネットワンシステムズと東京エレクトロンデバイスが提案したInfobloxのDNSセキュリティソリューション「BloxOne Threat Defense」です。BloxOne Threat Defenseは、アナリティクスや機械学習を用いることでDNSベースの攻撃による情報漏えいをはじめ、ドメイン名生成アルゴリズム(DGA)やDNS Messenger、fast-flux 攻撃といった最新の脅威も検知、遮断するものです。さらにDDI(DNS/DHCP/IPアドレス管理)、脅威情報、コンテキスト情報の連携により、高い検知精度を実現。これらの機能の優位性により、脅威への迅速な対処を可能としています。
京王電鉄はBloxOne Threat Defenseの実力を確認するため、2018年10~11月、翌2019年3~4月の2度に亘って検証を実施。「結果、これまで気づかなかった、遮断すべきURLへの通信が50件ほど検知されるなど、その効果を十分に確認することができ、『これを導入しない理由はない』と判断しました」と佐藤氏は振り返ります。
田村氏も「クラウドサービスとしても提供されているため、京王グループ企業の各社への展開が容易であることをはじめ、新機能の追加にも柔軟に対応可能であること、オンプレミスの製品のようにハードウェアの保守運用にかかるコストや負荷も抑制できる点も評価ポイントでした」と強調します。
ピンチアウトで拡大
2019年6月、京王電鉄はBloxOne ThreatDefenseの導入を正式に決定。京王グループ各社との調整および導入作業を経て、9月からの本番運用を開始しました。現在では、グループ会社を含む約6,000台のクライアントPCが、BloxOne Threat Defenseによって保護されています。
BloxOne Threat Defenseは、期待した通りの効果を京王電鉄にもたらしているようだ。佐藤氏は、「例えば、昨年末より猛威を振るっていた『Emotet』のダウンロードサイトに端末が通信しているのを検知、遮断しています。また、懸案事項であったSEOポイズニングも減少しています」と話します。
田村氏も「これまで気付けていなかった脅威を検知、遮断できるようになったことが大きいと考えています。また、以前であれば脅威の発生時に検知できず、また、時間が経ってから発覚した場合、原因となった端末の特定等が困難だったのですが、BloxOne Threat Defenseのログを分析することで調査、確認が可能になりました」と語ります。
「特に運用面ではBloxOne Threat Defenseのレポート機能が有効であるほか、検知、遮断したマルウェアに関連する情報のリンクを一覧表示する『Dossier』機能により、都度、情報が掲載されたWebサイトを検索してアクセスしなくても済むようになり、とても重宝しています」(佐藤氏)
京王電鉄はInfobloxのサポートについても評価しています。「同社のスタッフは、こちらからの新機能の要望にも親身に耳を傾け、対応してくれるよう動いてくれています。他のソリューションとの組み合わせに対する問い合わせにも、踏み込んだところまで話を聞いてくれるなど、とても助かっています」(田村氏)
BloxOne Threat Defenseの導入により、重要インフラ企業としてのセキュリティをさらに強化した京王電鉄。今後、東京エレクトロンデバイスは、京王電鉄のさらなるセキュリティ強化に際してこれまで培ってきたSI力と保守サポートネットワークを通じて、多方面から支援していく予定です。最後に田村氏は、今後のセキュリティ強化に向けた展望とInfobloxと東京エレクトロンデバイスへの要望について、「現在の課題は、疑わしい通信を行うPCの迅速な特定です。今後、働き方改革の一環として、テレワーク等、社外でのPC活用増も予想されています。そうした中で、ファイアウォールや他のセキュリティツールとの自動的な連携により、疑わしい端末の特定から、通信の遮断による二次感染の防止までを自動で行ってくれるなど、私たちの運用負荷をさらに削減してくれるような機能強化や提案を期待しています」と締め括っています。
記事は 2020年03月 取材・掲載のものです。
