-サイバー救急センターについて教えてください。

鈴木　私たちの役目は、名前のとおりサイバー攻撃による企業の緊急事態を24時間365日いつでも迅速に救援することです。2000年頃に「サイバー攻撃から日本を守りたい」という西本社長の想いを実現する形で立ち上がり、2008年から現在の「サイバー救急センター」という名前になりました。立ち上げ当時は10名ほどでしたが、現在は約60名の人が在籍するチームになっています。

清水　サイバーセキュリティの需要の高まりに伴い、人員も増加しているということですね。

鈴木　実際にどんなことをしているかと言うと、私たちの仕事はマルウェア感染やサイバー攻撃などのセキュリティ事故の発生もしくは疑いのお問い合わせをいただいた段階からがはじまります。まずは電話などで状況をヒアリングした上で初動対応として被害拡大防止として取るべき措置をアドバイスします。その後、お客さまの要望に基づいてデジタル・フォレンジック調査と呼ばれる手法で原因調査を実施。デジタル・フォレンジックでは、端末内HDDを詳細に調査して、削除されたデータの復元も含めインシデントに関連する痕跡を見つけ出し、原因と影響範囲をレポートとして提示します。そして、再発防止のための改善策を提案することまでが私たちの仕事になります。

林　ラックのサービスの特徴は他社とは異なり事前契約がなくても、電話やメールをもらえれば飛び込みでの相談が可能なところです。この約20年間で延べ3,000社以上の情報セキュリティインシデント対応を行った実績があります。最近の傾向としては、データを暗号化してしまうランサムウェア感染被害の相談件数が多くなっており、年々攻撃者の手口が巧妙化しています。

木村　以前はセキュリティ対策を積極的に行っていない企業が狙われることがほとんどでしたが、現在はセキュリティ対策をしている企業でも狙われるようになっています。さらなる対策を打つべく、現在ではインシデント対応で培ったノウハウと知見を活用したマネージドEDRサービスを提供しています。

緊急事故サービス「サイバー119®︎」の詳細を知りたい方はこちらへ。

-マネージドEDRサービスについて教えてください。

木村　まずEDR（Endpoint Detection and Response）とは、PCを狙った標的型攻撃などの高度な脅威を検知し、迅速な対応を可能とするソリューションのことを指します。EDRは、ウイルス対策ソフトなどとは違い、アラート検知の原因となるログを記録しているため、「なぜ検知したのか」「検知した後に何が起きたのか」などを分析することができます。しかし、アラート内容やそれらのログを分析するには攻撃手法や端末(OS)に関する専門的な知識が必要です。一般的な企業で専門的な知識を持つ人材を確保・維持することは難しいため、セキュリティの専門家である私たちがアラートの分析・対応策についてサポートするというサービスになります。

林　このサービスのプロジェクトは、私が入社する直前に立ち上がったと思うのですが、発足したきっかけは何でしたか？

木村　私たちのメイン業務である「サイバー119®︎」は、セキュリティ事故が発生したお客さまを支援するサービスです。サイバー119サービスを提供している中で、被害が発生した後の対応だけでなく、蓄積されてきた経験や知見を生かしてサイバー攻撃を未然防止できないかという話になり、新たなサービスを立ち上げることになったんです。

鈴木　2017年頃から「EDR」というワードが日本のセキュリティ界隈でも注目されはじめました。PC端末の挙動をログとして記録し、それを基に調査・対処ができる製品ということで、私たちが培ってきたPC端末調査の知見が大いに活用できるという話になり「マネージドEDRサービス」を私と木村さんの2人で立ち上げることになりました。

木村　経営層から半年以内にリリースをしてほしいと言われたときは、さすがに戸惑いましたね。

林　とくにどんなことが大変でしたか。

木村　サイバー救急センターでこのような監視サービスを提供するのは初めてだったので、契約書や仕様書を作ったり読んだりと今までほとんど触れたことのないものばかり。サービスの基盤をつくるために必要なEDR製品の検証、サービス詳細仕様の検討、契約書類の作成、サービス価格の検討、サービス運用の検討などを急ピッチでやる必要があったので、とくにその期間は無我夢中でしたね。

清水　初めての試みばかりだったんですね。規格の大枠ができたところから林さんと私が参画することになったのですが、どうして私たちだったんですか。

鈴木　目指していたのは「ITの専門的な知識がない経営層でも見て判断できる調査報告書」をつくることです。他社のEDRサービスは、アラートの概要を報告するところまでをメインとしていると考えていますが、私たちは安全かどうか判断して、それをなぜ安全と判断したのかという理由まで報告書として提供したいと考えていました。そのサービスを実装するためには、EDRの知識やフォレンジック調査のノウハウが重要だったので、経験豊富な2人にお願いをしました。

林　なるほど。私は以前にもサービスの立ち上げの携わったことがあるのですが、自分たちの望むサービスが提供するためには、検証に膨大な時間がかかることが多いんです。しかし、ラックではわずか数ヶ月でリリースできたので、リリースしたときは感動しましたね。個々の能力の高さもそうですが、チームワークが良かったのが大きな理由の一つだと思っています。

清水　そうですね。苦労したというより、楽しい感覚の方が強かったです。みんなでアイデアを出しながら調査方法や調査報告書の内容を決めたり、そこから出てきたタスクを協力しながら一つ一つ解決して行けたのでスムーズに進行できた気がします。サービスで取り扱っているEDR製品は海外の製品なので思い通りにできない部分もあったのですが、どうやって工夫したら解決できるのか、新たな方法を生み出す感覚が楽しかったですね。

鈴木　スケジュール的に大変なこともありましたけど、4人全員が主体的に動き協力し合えたおかげで無事リリースすることができました。みんなには感謝の気持ちでいっぱいです。

「マネージドEDRサービス」の詳細を知りたい方はこちらへ。

-リリース後、どんな反応がありましたか。

鈴木　緊急時だけでなく、毎日のセキュリティを守る立場になったので、お客さまから感謝される回数が増えましたね。今まではPC一台調査するのに数百万円かかることもありましたけど、EDRだと複数のパソコンを調査することができるのに、価格も数十万円で済むこともあるので、お客さまに喜んでもらえています。

清水　わかります。緊急時の対応後、感謝はしてもらえるけど…トラブルは起きない方が良いので、「もうお会いしないと良いですね」みたいな会話になることが多いんですよね（笑）今の方が純粋に感謝されている気がします。

林　仕方のないことなんですけど、ちょっと切なくなりますよね。

木村　お客さまだけでなく、社内でのサイバー救急センターの存在も大きくなっている気がします。「EDR」というワードが出ると営業からすぐに相談が来るようになって、頼りにされている感覚もありますし、売り上げにおいても今まで以上に貢献できていると思います。

-2019年から侵害調査サービスの提供を開始されていますが、その経緯は何があったのでしょうか。

鈴木　数千から数万台規模の大規模インシデントの相談が相次いだのがきっかけです。以前はPC一台がマルウェア感染したら、そのPCだけを調査することが多かったのですが、最近だとPC一台から組織内の広範囲に侵害が広がる場合が増えてきました。今までのようにPC一台一台を詳細に調べていては全部確認し終わるまでに膨大な時間とコストがかかってしまいます。組織内の広範囲のPCを一気に調べることができる手段を検討していました。

木村　侵害調査サービスは「ファストフォレンジック」と呼ばれる調査方法と「EDR監視」を組み合わせることで、過去・現在・未来を広範囲で調査することができるサービスです。「ファストフォレンジック」とは調査に必要な最低限のログを収集し、過去から現在までの状況を調査するもの。詳細調査と比べてログの量が少なく済むので、大規模な範囲を調査することが可能です。また、同時に各端末に「EDR」を導入することで、現在から未来にかけての詳細ログを収集して分析することができます。インシデント対応中に再び攻撃を受けてもアラートですぐに気づくことができます。

清水　侵害調査サービスを導入したのは、製品が優れているはもちろんでしたが、ベンダーの方々のリテラシーやセキュリティ意識の高さが私たちと一致したところも大きかったですね。

林　お互いにWin-Winな関係をつくるためには大事なポイントになっていたと思います。

清水　どんなに良い製品であっても調査スキルがないと品質の高い調査結果は出すことができないんですよね。ディスカッションを重ねる中で、信頼できるパートナーになれたのは決め手の一つだったと思います。

林　導入して良かった点としては、クオリティの高い調査を選択肢の一つとして提示できるようになったこともそうですが、侵害調査サービスを導入した企業さまがマネージドEDRサービスを導入してくださるようになったことです。このサービスがあることで、ワンランク上のセキュリティ対策を提供できるようになり、また一つラックの強みができたように感じます。

侵害調査サービスの詳細を知りたい方はこちらへ。

-これからチャレンジしてみたいことや目標を教えてください。

林　ラックといえばセキュリティ監視センターのJSOC®︎という印象が強いと思うので、マネージドEDRサービスも同じくらい大きなサービスにしていきたいですね。

鈴木　非常事態の際に対応してくれる部隊がラックにあることは認知されてきているけど、JSOC®︎にはまだまだ追いつけていないよね。大変な道のりかもしれないけど、実現したい目標の一つです。

木村　ラックはネットワーク監視だけでなく、エンドポイント監視も優秀であることをもっと多くの人に広めていきたいですね。

清水　目標は何年後ですか？

鈴木　理想は3年以内。JSOC®︎のようなラックの顔の一つになりたいね。さらなる飛躍のためには人材育成がとても重要だと感じています。サイバー救急センターに興味を持ってくれる学生さんが増えてくれると、とてもうれしいですね。

林　清水さんは最初からサイバー救急センターに興味を持っていたと聞いたことがあるけど…きっかけは何だったんですか？

清水　12歳のときにパソコンがウイルスに感染されてしまったことがあって、とてもショックだったんです。それがきっかけで「攻撃者を撲滅させたい」と思うようになって、セキュリティエンジニアを志すようになりました。

木村　自分の経験が原動力になっているんだね。

清水　サイバー攻撃は年々巧妙化しているので、どう守るかも大事ですが、攻撃を受けた後にどう対処するかも重要です。もしも私と同じ経験をしたことがある人や正義感や使命感を持って働きたい人がいたら、サイバー救急センターを志望してもいいかもしれないです。一緒に働ける日を楽しみにしています。