バリオセキュア技術本部の小林と申します。
よろしくお願いいたします。
私は今、弊社で取り扱っているUTMのOSの開発や、これからご紹介するSaas型のアプリケーションサービスの開発の総責任者をさせていただいております。
本日は「社内端末のリソース管理と脆弱性管理」と題しましてKompira Sonarを使ってお客様に提供しているサービスのご紹介を中心にさせて頂きます。
サービスについて
我々の商材は、ソフトバンクさんや大手のキャリアさんが自社製品としてお取り扱いするようなセキュリティルーターというマネージドサービスでご提供することが主体のサービスになっています。
本来であればこのルーターやファイアウォール製品は売り切りのモデルが多いですが、ここをフルマネージドのサービスの一環として、マネージドセキュリティサービスという形で機器も提供し、その後のネットワークの運用管理までお預かりするというスタイルを取っています。
つまりお客様は月額を支払いするだけで、機器の提供とその後のフルマネージドをサービスとして受けられるというものになります。
同時にインテグレーションサービスもやっています。
導入時にネットワークそのものの課題が多く、再設計や、新たに導入したいといった時にはインテグレーションサービスが絡んできます。 請け負いとしてネットワークの設計から構築、VSRを中心としたネットワークを社内に導入させていただくというものも傍らやっています。
私どもは商品だけではなく、俗に言うセキュリティフレームワークの全体を通してそれぞれのレイヤーで商品サービスを展開しています。
「Vario Network Security Suite 」について
構築から復旧まで各段階において商品を持っていますが、本日はこのステップの中で特定と防御をフォローする「Vario Network Security Suite 」(以下VNSS)のご説明をさせていただきます。
簡単に言うと、ネットワーク上にいるリソースをKompira Sonarを使って発見し、端末であるかやネットワークのリソースなのか等を判断します。
PC端末であった場合、詳細の情報を取りつつ、その後の管理に結びつけていくといったサービスです。
マネージドセキュリティサービスの強みとして、全国に74拠点を持っており、ハードウェアが壊れた場合に駆けつけてオンサイトでキー交換をするといったところまで対応してます。
ルーターファイアウォール製品でここまでやっているという企業さんは少なく、ハードウェアからOSまで内製化しているので、純国産になります。
現在はVSRがどれぐらい全国にあるかと言いますと約7000台稼働しており、弊社のNOCとサポートセンターで一括サポートしているといった状態です。
サービス詳細
次にVNSSのご紹介です。
こちらはVSRが世の中に出ていることもあり、この流通経路を有効活用するビジネスモデルになっています。
VSRも含めて弊社を選んでいただく理由は3つあります。
1,マネージドセキュリティサービスであること
2,導入コストが低い、もしくは見えやすいこと
3,純国産であること
この3つがお客様からご好評をいただいている理由です。
VNSSに関しましても、このようなところに価値を感じていただけるお客様に提供していきたいと思ってます。
狙うターゲット
実際にバリオセキュアがどの程度シェアを持っているかというと、UTMの製品だと従業員数が1000名未満の会社さんであれば約20%のシェアを維持し続けています。
エンタープライズのお客様に関しては、全く違ったブランドや製品を使い大規模にネットワーク構築運用されるケースが多いですが、そこまでの規模感やリソースに予算を取れないお客様を含めて、私たちのフォローの範囲に入っています。
VSRの方でこのようなお客様のニーズや課題を吸収しており、新しい製品サービスに関しても、そこに向けて提供すべきではないかということで、ターゲットは同じお客様の層を狙っています。
情報セキュリティのあるべき姿
ファイアウォールと言いうと社内を守る境界型の防御ですが、昨今リモートワークも増え、社内ではないところから会社のトラフィックが流れてしまうといった実状があります。
しかし私どもが持っているVSRだけでは、そこまで守りきることができないということも課題として上がっていました。
それを一括して管理するにはどうしたらいいかというところから、このVNSSは生まれました。
VNSSは社内の端末だけではなく、リモートアクセスしている端末に関しても同様の管理ができるようになっています。
経営者の方々はコンプライアンスや会社の信用信頼を意識していますが、それの受け手となる情シス部門としては作業の負担でしかありません。
このように大きな予算を取れるわけでもなく、ただただ課題だけが積み上がっていくという状況は既に数年前から言われていることです。
私たちはその情シス部門の方々が会社の経営陣から要求されたことを、いかに生産性よく課題をこなしていくかにフォーカスしたものと考えてください。
VNSSの3つの機能
VNSSは社内のリソース管理として(端末を)発見して見える化する、見つけたものに関しては把握していく、最終的には継続的に監視していく、この3つの機能に対してフォーカスをしています。
具体的な対象としては、社内外にある個々のクライアントPCを発見し管理していきます。
このPCの中にある脆弱性を発見し、この端末がどの時点までのWindowsアップデートまでをしているかを見ます。
さらに未適用なものに関しては、センター側から積極的にアップデートをかける指示ができるというところまで機能化しています。
その様子を継続的に管理監視する仕組みのパッケージとなっています。
特徴とメリットとして、3つの機能に絞って作ってるコンパクトな統合型サービスなので、必要な機能が数クリックで達成できるという簡便さがあります。
また、お申し込みいただいてから10営業日で1つのプライアンスをセットするだけですぐに運用開始ができるといった、お金的にも時間的にもコストが低く始められるというところがメリットです。
このアプライアンスもリモート監視させてもらっているので、有事の際はリモートアクセスして私どもの手でメンテナンス対応します。
各機能の詳細
お客様に社内の機器を把握できていますか?と問いかけた際、割と「できています」とお答えいただきます。
しかし、機器管理のサイクルが3ヶ月に1度の棚卸し等ライフサイクルが長かったり、作業に1週間から10日かかったり、クライアントを管理するツールを入れてるにもかかわらず、そういう状況が生まれているというのはよくある話です。
私たちどももセンターモデルで端末を発見し管理しますが、そこに至るまでのプロセスが短いです。また取れるデータが膨大ではないので、管理整理がしやすいというさじ加減になっています。
具体的には取ったデータはすべてCSVで落とし、その後持っている資料に当て込み加工できます、というところで機能自体は止めています。
ダッシュボード作ったりレポート機能をつけたりと、どんどん高機能にしていくと、それを使うための教育コストがかかってしまうので、あえて一旦ローデータとして吐き出すところまでお手伝いさせていただき、その後は社内で使っているフォーマットに合わせて使ってくださいとしています。
意外にこのようなところがお客様からは好評いただいています。
取得できる端末情報
取れるデータはKompira Sonarそのもので、ネットワークのインターフェースの情報からハードウェアの情報、搭載しているOSとビルド番号、バージョン、パッケージ数、Windowsアップデートの適用済みの数等が基本的に取れます。
プラスアルファで弊社で独自の機能を追加し、端末の活動量を計測するための数値を取れるようになってます。
具体的にはソフトウェアの起動回数や起動したソフトウェアのリスト、端末の中でやり取りされているネットワーク通信のボリュームを取っています。
取る理由としては、ある企業さんの課題に業務がリモートワークにシフトし、社員の方がどれだけしっかりと業務をこなしているのかがわからないという課題がありました。
そこで正しくそのトラフィックが流れているか、起動したアプリケーションの数やアプリケーションから端末の活動を判断できないかということからこの機能が生まれました。
画面の左下に家のマークがあり、社内であった場合は会社のマークになる等、どこで仕事してるのかが表示されるようになっています。
脆弱性管理について
一方、端末の情報も違った視点から管理する方法というものも持っています。
管理している端末の脆弱性発見とその対応として、企業規模を考えた場合、統合的なEDRやEPPが導入できてないお客様もいらっしゃいます。
また個々ではウイルスバスター等クライアントレベルのものを入れているケースはありますが、なかなかそれを統合管理するというところまで行きつけてない企業様が多いです。
私たちはそこまでのオプションを持っていますが、その手前のベースとなるOSの脆弱性は対応できているのか、という部分にアプローチをしました。これが「Vario Vulnerability Tracker」機能になります。
Kompira Sonarで発見した端末はWindowsアップデートがどこまで適用されているのかの情報をもとに、毎日MSRCという脆弱性データベースにアクセスし、最新の脆弱性情報を持ってきます。
これとそれぞれの端末を突合し、まだ未適用なものを導き出します。その端末一つに対しどれだけのCVEが当たってないのか等を可視化していきます。
また可視化するだけではなく、端末に対してこのアップデートが必要だと判断した場合、個別または一斉にWindowsアップデートの指示をかけることができます。するとクライアント側の方がWindowsアップデートが必要であることを検知し、バックグラウンドでWindowsアップデートをします。
急に再起動するとびっくりしてしまうので、次回の再起動や次回の起動時にこれが適用されるといった仕組みになっています。
そうすることで最低限OSのレベルで発表されているメーカーサイドからの情報をもとに、脆弱性の対応を担保することができるようになります。
また、その上に乗っかっているサードパーティー性のアプリケーションに関しては、クライアントの中で持っているウイルス対策ソフトも統合的に管理したいということであれば、EDR/EPPの製品も導入していただいてクライアントの隅々まで管理していくといったことが可能です。
導入事例
ある企業さんでは端末が800台程度で自分たちの会社だけではなく、関係会社まで面倒をみなくてはいけなくなったという情シスのお話です。
課題としては管理会社のネットワークのリソースが全くわからないところがあり、またIPレベルでつながったこころまでしか可視化できていない状態であったりと、なかなか管理が行届いていませんでした。
それに加え、大規模なクライアントを管理するためのアプリケーションを導入するというポリシーもできてない状況でした。
私たちもクライアントそれぞれにアプリケーションを導入しますが、非常に小さなもので常駐型ではありません。
Windowsのスクリプトを置かせていただいて、それが特定のタイミングで起動することで機能するタイプで、非常に簡単に配布ができます。
導入効果
立ち上がりコストを低く抑えられることがメリットとなり、導入はトントン拍子に進みました。
本社のネットワーク/リモートワーク、関連会社のネットワーク/リモートワーク、すべてに端末管理ができるようになりました。
課題を整理すると、導入コスト、導入期間、運用コスト、人材教育等がネックになっており、コストも時間もかかるとのことがわかりましが、VNSSで導入コストは約100万円に抑えられ、また決めてから1ヶ月弱でスタートができたことです。
フルマネージサービスなので、その後の運用に関してもコストは激減し、Webの管理画面の簡単操作で特に選任をつける必要もありませんでしたといった事例となります。
本編のご説明としては以上となります。
本日はありがとうございました。