“事業継続”の観点で、セキュリティ体制を強化【松屋】ALog＋運用サービス導入で攻撃に備える

全国各地にお店を構える当社にとって、一番のリスクは店舗システムが止まること。万が一マルウェア感染でもして、それが広まるような事態となれば、店舗営業がストップしてしまい、一大事です。そのため、これまでもアンチウイルスソフトやUTMなど、サイバー攻撃から身を守るためのセキュリティ製品は一通り導入してきました。しかし、どれだけセキュリティ対策を講じたとしても、被害を受ける可能性をゼロにすることは決してできません。侵入されることを前提にした対策作りも必要なのです。 そこで、"事業継続"という観点から、改めてセキュリティ対策について考えてみました。
ポイントは2つ。一つ目は、攻撃されたとしても事業継続を脅かすような事態となる前に発見し対処できること。二つ目は、攻撃が成功し万が一被害が出てしまったとしても、ダメージを最小限にするために、迅速に原因分析し復旧出来る状態にあること。この2点を叶える為に、必要と判断したのが『ALog』と『Security Supporter（現：セキュサポ）』でした。

『ALog』の導入により、インシデント発生時の原因特定が、とにかくスピーディーになりました。システム毎にバラバラに保管されていたログが集約されたので、ここから一貫して事象を確認できるようになったためです。
また、ALog導入に付随してログ運用業務まで委託できた事もとても大きなメリットでした。ログ運用には、大前提として複数のシステムが出力するログの意味を理解し、かつそこから状況把握まで出来る体制を整える必要があります。加えて今回の目的である、ログを活用した外部攻撃の検知まで実現するには、多様な攻撃手法を理解し、事前に適切なアラート/レポート設定を施す必要があります。とはいえ、当社の人員体制を鑑みるに、ここまで内製で行うのは若干ハードルが高いと感じていました。なので『Security Supporter』で、この部分をプロにお任せ出来た事は、非常に有難かったです。

サービス契約後、すぐに大量のシステムエラーが上がっているとの報告をうけました。どうやら、過去に利用していたシステムアカウントによる認証失敗が出ていたようです。お陰様で適切な設定に修正することができました。
その他には、幸いにもこれまで、重大なインシデント発生報告がなくこれといってご紹介できるケースがないのですが...。しいて上げるとしたら、UTMからランサムウェア感染のブロックログが出ているとの報告が2件ほどあったことくらいでしょうか。きちんとブロックされていることを確認できその点では安心でしたが、ログを深堀調査し、該当端末の使用者を特定、念のため本人にヒアリングを行いました。すると、2名ともまったく自覚がなく、この感染がブロックされずに発覚も遅れていたら被害は広がっていたのだろうと、恐怖を感じました。こういうヒヤリハットに気付けるようになったことも、今後の対策や社員教育の強化という観点で大きな意味があると感じています。

事業継続という観点で費用対効果を考えながらセキュリティ対策を進めていきたいです。そのため、セキュリティインシデント発生を想定した、訓練などを実施できるプログラムもあればいいなと感じます。