株式会社ecbeing様
脅威インテリジェンスプラットフォーム「DeCYFIR」で、ECサイトへの脅威を可視化
企業のECサイト構築を支援する株式会社ecbeing(以下、ecbeing)は、顧客ECサイト(延べ導入実績1,400サイト)へのサイバー攻撃対策をより盤石にすることを計画した。
TISの支援で製品比較とPoCを実施し、脅威インテリジェンスプラットフォーム「DeCYFIR」を導入。敵から見える自社のリスク情報やダークウェブから得られる情報など、最新の脅威情報の入手により、攻撃を先回りしたセキュリティ対策が可能となった。
| 本社 | 東京都渋谷区渋谷2-15-1 渋谷クロスタワー |
|---|---|
| 創業 | 1982年 |
| 資本金 | 2億円(2021年10月末現在) |
| 事業内容 | ECサイト構築 等 |
| URL | https://www.ecbeing.net/ |
背景
サイバー攻撃の巧妙化を受け “先回り”の防衛を目指す
パッケージ製品「ecbeing」は、企業のECサイト開設に必要なインフラからソフトウェアまでを一括して提供するソリューション。これまでに1,400のECサイト構築実績があり、市場占有率は13年連続シェア1位※1のトップベンダーだ。
ecbeingは1999年の製品発売以来、顧客企業のECサイトを運用するサーバーを対象に、段階的にセキュリティ対策を強化してきた。CSIRT※2室の加藤新氏は「当社は経営指針に“セキュリティファースト”を掲げて、安全性の強化に取り組んでいます。その成果の一つとして、セキュリティを最優先して当社製品を選ばれるお客様も増えています」と語る。
これまでの主な対策には、多層防御(アンチウイルス・EDR・ファイアウォール・IPS等)、24時間365日の有人監視サービスの利用などがある。しかし近年、サイバー攻撃の規模や手口が変化したことで、さらなる強化が喫緊の課題となっていた。
「サイバー攻撃の傾向として、国家支援型の攻撃グループのような、組織化・巧妙化したサイバー脅威が顕著になっています。従来型のセキュリティ対策では、近い将来、この状況に対応できなくなる可能性がありました」(加藤氏)。
対策強化を目指す同社CSIRT室はまず、既存のリソースだけで攻撃を先回りできないかを試みた。これは、SIEM※3により収集ログから洗い出した不正なIPアドレスをもとに、攻撃者を突き止められるかを検証するもの。「しかし、日々のログ確認などで手一杯で、攻撃者の情報を入手するのは限界がありました。目標とするプロアクティブな対策までは実現できていませんでした」(加藤氏)。
※1 富士キメラ総研社発行の富士マーケティング・レポート(ECサイト構築パッケージソリューション市場占有率調査)より。
※2 CSIRT(シーサート)とは、セキュリティインシデントに対処する企業内の専門組織の総称。
※3 SIEM(シーム)は、セキュリティ機器やネットワーク機器から収集した複数ログを分析し、相関関係に基づいて異常行動を検知する仕組み。
検討
TISが提案した “脅威インテリジェンス” が突破口に
そうした中で、2021年1月に同社のITパートナーの一社であるTISから、有力なセキュリティ対策として「脅威インテリジェンス」が提案された。
これは、自組織にとっての攻撃者の特定と理解、攻撃者から見る自組織のリスクの把握ができる情報を提供するサービスの総称。TISの奥山暁仁は導入メリットをこう説明する。「提供される情報は各業界や企業に特化したもので、“どのような攻撃者が、企業のどの資産を狙っているか”といった攻撃の予兆を可視化するとともに、攻撃者から見た自組織の状況を把握することで、先回りのセキュリティ対策が可能となります。国内ではまだ脅威インテリジェンスは普及の端緒についたばかりですが、欧米では10年程前から企業導入が進んでいます」。
同社CSIRT室にとって、この脅威インテリジェンスは、まさに目的にかなう対策であった。「セキュリティインシデントが起きた“事後”ではなく、“事前”の対策に特化している点が、従来とは異なる画期的な特長だと感じました」(加藤氏)。
選択
候補5製品を徹底検証し「DeCYFIR」を選択
脅威インテリジェンスを実現するサービスを選定するにあたり、まずTISが、グローバル市場で実績のある5製品を候補として選択。デモ版の試用や提供ベンダーからの情報をもとに、ecbeingに最も適した製品を見極めることとした。「客観的に製品比較ができるよう、入手可能な脅威情報の種類をはじめ約120の比較項目を用意しました」(TIS奥山)。
その結果、サイファーマが提供する「DeCYFIR」は次の点で優位性があったと加藤氏は説明する。「経営層・セキュリティ管理者・セキュリティ運用者それぞれに適したフォーマットで脅威情報が提供されるのが『DeCYFIR』の大きな特長です。幸いにも当社は経営者がセキュリティに対して積極的に参加してくれています。属性にあわせた内容の情報提供は、セキュリティ投資の計画に役立つと感じました」(加藤氏)。
加えて、過去・現在だけでなく今後見込まれる脅威を予見できる点、ecbeingの契約により同社が所属するソフトクリエイトホールディングスグループ全体でもサービスを利用できるコストパフォーマンスの高さも、「DeCYFIR」選定を後押しする材料となった。
そして2021年2月には、最終候補に残った「DeCYFIR」のPoC(製品評価)を実施。加藤氏は「PoC期間中に、社内の人間だけで『DeCYFIR』と同等の脅威情報を入手できないかチャレンジしてみました。しかし、どうがんばっても不可能だと分かり、同サービスへの評価がさらに高まりました」と振り返る。
TISは、経営層に向けた説明資料作成にも携わり、サイファーマとともに、PoCの結果説明会を開催した。そして、ecbeingの経営層から「DeCYFIR」の導入が承認された。
効果
攻撃者の動向を可視化し、インシデントの未然防止が可能に
「DeCYFIR」による脅威情報の提供は、2021年7月からスタートした。実感する効果について加藤氏はこう語る。「『DeCYFIR』の脅威情報と、SIEM・EDRで収集・分析した攻撃者のIPアドレスの痕跡(IoC)を突きあわせることで、攻撃者の姿と行動がより明確になりました。また、狙われていると判明した当社の攻撃対象領域について、すぐに対策を講じることができ、安全性をさらに強化できました。これ以上の要望はないと言えるほど『DeCYFIR』に満足しています」。
導入の最終決定者でもあるecbeingの林社長は、こう振り返る。「決して小さな投資ではありませんが、提供される脅威情報にはそれ以上の価値があると判断しました。お客様に安全にECサイトを運用いただくために、非常に大切なセキュリティ投資であったと思います」。
ecbeingは現在「DeCYFIR」のもたらす情報を利用して、EASM※4のグループ展開を進めている。「グループ各社のIT部門が脅威情報に基づき各社のセキュリティ対策を行うことが、グループ全体のインシデントレスポンスの強化につながります。TISとサイファーマには、これからもセキュリティに関するビジネスパートナーとして、一歩先を見据えた提案をいただければと思います」(加藤氏)。
※4 External Attack Surface Managementの略で、日本語では「外部攻撃対象領域管理」の意味。インターネットに公開されているIT資産やシステムの把握と、それらに存在する脆弱性を管理する取り組みのこと。
お客さまの声
株式会社ecbeing
CSIRT 部長代理
加藤 新氏
TISとは10年程前に取引が始まり、「DeCYFIR」導入前から、セキュリティに関する施策の相談に乗っていただいていました。知識一辺倒ではなく、我々の事業をよく理解したうえで提案・製品提供をいただき、ビジネスコンサルティングに近い立場でのアドバイスに感謝しています。
今後、当社がデータセンターでお預かりしているEC以外の、インターネット上にあるお客様サイトについても安全性を保てるように、脅威インテリジェンスを提案できる体制を構想しています。今回と同様、TIS・サイファーマとの協力体制で、お客様の選択肢を増やしていきたいと思います。
TIS担当者から
TIS株式会社
IT基盤技術事業本部
IT基盤技術事業部
IT基盤ビジネス推進部 上級主任
奥山 暁仁
本プロジェクトは、TISにとっても最大規模の脅威インテリジェンスの導入支援案件でした。ソリューション選定における情報提供からPoCの実施に向けた支援、経営層に向けた導入効果や今後のセキュリティ運用のあるべき姿の具現化、上申資料の作成など、ご担当者様と二人三脚で進めてまいりました。
導入稼働後、「DeCYFIR」が想定以上の効果を発揮し、セキュリティ運用の軸として活用し、「ecbeing」のエンドユーザー様への効果も早速あらわれていると伺っており、とてもうれしく思います。
今後もTISは、ecbeing様および「ecbeing」を利用してビジネスを展開されているエンドユーザー様がコアビジネスにより専念できるよう、セキュリティソリューションを通じてご支援し続けてまいります。
※ TIS、TISロゴはTIS株式会社の商標または登録商標です。
※ その他の会社名、商品名、サービス名は各社の商標またはサービスマークです。