SERVICE株式会社エイチ・アイ・エス 様

株式会社エイチ・アイ・エス

本社情報システム本部 ITセキュリティグループ
セキュリティチーム 石谷 進 氏
統合ログ監視チーム 石塚 直己 氏
統合ログ監視チーム 永井 千尋 氏

旅行事業を中心に、ホテル事業、地方創生事業、保険事業など様々な事業を展開するエイチ・アイ・エス（HIS）。現在は世界58ヵ国に158拠点のネットワークを有し、国内外の顧客に向けて、安心で快適な旅を提供している。2022年12月に“「心躍る(ココロオドル)」を解き放つ”をHIS Group Purpose（存在意義）として策定。今後は、旅行事業および旅行関連事業の深化を図るとともに、非旅行事業の探索により事業の多角化を目指している。

さて同社では、近年複雑化するサイバー攻撃への対応に課題を抱えていた。特に、大手企業を狙った攻撃手法の多くが、海外子会社などセキュリティ対策の弱いところをターゲットとしており、そこを足掛かりに本体への侵入を図るケースが増えていたためである。本社情報システム本部 ITセキュリティグループ セキュリティチームの石谷進氏は「既存のアンチウイルス製品はすり抜けが多いと聞いており、私たちの期待に沿うだけの機能を果たせるとは思えませんでした」と振り返る。

こうしたサイバー攻撃の進化を受けて同社は、子会社にEDR （Endpoint Detection and Response）を採用するなどの対策を行ったが、その効果は不十分だったという。ITセキュリティグループ 統合ログ監視チームの石塚直己氏は「EDRも完全に攻撃を防ぐことはできず、対応は後手に回りがちでした」と語る。

そこで同社は、ベンダーの交代まで含めた抜本的なセキュリティ対策の導入を決断。2022年5月ごろより新たな製品の検討をスタートさせた。

HISはセキュリティ強化のファーストステップとして、エンドユーザーが使用する端末への対策を実施し、管理の強化を図ることを定めた。この方針のもと、候補として挙がってきたのが「クラウドストライク社製品（CrowdStrike Falconプラットフォーム）」である。
「CrowdStrike FalconはEDRとしての知名度が高いこともさることながら、利用時の評判も良かったですね。特に、アンチウイルスの面では取りこぼしがないという声を聞いており、これなら間違いはないだろうと、ほぼ決め打ちで選びました。機能的にも、EDR、NGAV（次世代型アンチウイルス）、各種デバイスへの対策等、私たちが必要とするものをワンストップサービスで利用できます。CrowdStrike Falconのほかには、このような包括的なソリューションは見当たりませんでした」（石谷氏）

同社は、旧知のSIerであるエーピーコミュニケーションズ（APC）に相談。APCは、CrowdStrike FalconがEDRとしての知名度が高いこと、EPPの分野でリーダーのポジションを獲得していること、インテリジェンスの世界でもトップクラスにあることの3点を高く評価。また、仮想環境を作成し他のソリューションも含めて比較・検討したところ、実際に高い性能を示したことから、強く導入を薦めた。

これを受けて同社は、2022年9月に正式に採用を決定。10月より導入作業をスタートし、2023年1月にクライアントへ導入。7月にサーバーへの導入も完了させている。

導入の作業においては、APCが事前検証の実施など技術面をサポートし、スケジュール通りに展開を完了させた。サーバーへの導入の際には、既存のEPPのアンインストールに手間取るなどのトラブルも発生したが、これも同社とAPCが連携して問題点を分析することで、無事に解決している。

現在、HISはCrowdStrike Falconを国内外に展開しており、（他製品を導入している欧州を除いて）グループ会社すべてをカバーしている。
「CrowdStrike Falconの導入により、サイバー攻撃に対する検知率が向上し、グループのセキュリティ面は大幅に強化されました。」（石谷氏）

グループの従業員が1万人を超える同社だけに、人によってセキュリティに対するリテラシーの差は大きい。教育や訓練も定期的に実施してはいるが、関係先を装ったフィッシングメールなど、サイバー攻撃の手口の巧妙化や悪質化の加速により、早急な対応が求められる。
「CrowdStrike Falconが攻撃をしっかり止めてくれるので、安心感があります。たとえ過検知や誤検知があったとしても、すり抜けからインシデントが発生するよりは、はるかに良いと考えています」（石谷氏）

もう一つの効果が、状況の可視化だ。例えば、不必要なソフトやアプリを使っていることもわかるので、大きな問題となる前に対処することができる。ITセキュリティグループ 統合ログ監視チームの永井千尋氏は「海外のグループ会社は、私たちが考えている以上にリテラシーの低いところがあります。そうした会社の状況を詳しく把握できるようになったのも大きなメリットです」と語る。

また、検知から過去に遡ることができるのもCrowdStrike Falconの特徴だ。従来の製品と違い、脅威の検知だけでなく、分析を行うことで原因の根絶を図ることができる。
「たとえ侵入を許したとしても、CrowdStrike Falconが挙動を常に監視・追跡してくれているので、何が起こっているのかを正確に把握できます。そのため、原因を追究やどのように対処すべきか明確です。また、ある特定の国からの攻撃が多いなどの傾向もわかるので、プロアクティブな対応にもつなげられます」（石塚氏）

加えて、CrowdStrike FalconはUIが優れているため使い勝手が良く、状況の把握も容易だ。
「セキュリティ担当に異動してきたスタッフにもCrowdStrike Falconの管理画面はわかりやすくて助かっています。操作などで戸惑うことはほとんどありませんし、脅威をランク付けしてくれるので、優先して対応すべき事象も明確です」（永井氏）

さらに従来と比べ、サポート面が大きく強化された。ITセキュリティグループとAPCは、日頃からコミュニケーションをとって情報を共有したり、定例会で状況の変化などについて適時レポートを挙げたりなど、密に連携している。石谷氏は「APCによる手厚いサポートが受けられることで、問題発生時には共に原因を追究してくれることはもちろん、今後どのような手を打つべきかなど、効果的な対策を長期的な視点からアドバイスしてくれるので、とても助かっています」と述べ、石塚氏も「過検知が続いた際、APCにホワイトリストによる対処をしてもらったことで、円滑な運用が実現しました」と評価する。

HISは今後、クラウドストライク社製品と他のセキュリティ製品との連携を深めていく方針だ。すでにSplunkなどのセキュリティ管理システム（SIEM）製品との連携を実施しており、CrowdStrike Falconで収集したデータを取り込んで攻撃の分析を進めていくという。
「よりプロアクティブな対応ができるよう、セキュリティ体制の強化に取り組んでいきたいと思います。さらに、APCからのサポートを受けながら、他のサービスなどとも連携もさせていくつもりです。当社も人的リソースは限られていますので、できるだけ自動化を図り、少ない工数でマネジメントできるようにしていきたいと思います」（石谷氏）

CrowdStrike Falconプラットフォーム 導入時期：2023年1月
インタビュー実施日：2023年11月22日

※CrowdStrike、Falconのロゴ、CrowdStrike Falconは、CrowdStrike, Inc.が所有するマークであり、米国および各国の特許商標局に登録されています。