国内拠点でランサムウエア感染
苦い教訓を生かし端末保護製品を導入
一方、サイバー攻撃を受けたPCなどの業務端末から迅速にウイルスを駆除する目的でExabeamと同時期に導入を開始したのが、EDR(Endpoint Detection and Response)※2製品の「Tanium(タニウム)」だ。同製品はまず国内拠点から導入が開始されたが、それには事情がある。
※2 ネットワークの末端(Endpoint)にあるPCなどの端末について、ウイルス感染などを検知し、対処する技術。
2018年1月、NTTデータのある国内拠点でランサムウエア(身代金を要求する不正プログラム)の一種である「WannaCry(ワナクライ)」の亜種への感染が発覚した。ランサムウエアに感染した場合、通常はPC内のデータが勝手に暗号化され、それを解除(復号化)することと引き換えに金銭などを要求される。幸い、同社が感染したのはデータ暗号化に失敗する亜種だったため、実被害はなかった。しかし、感染した多数のPCからウイルスを駆除する作業に2週間余りの期間と多くの手間を要したという。
「感染した一台一台のPCに手作業でセキュリティーパッチを当てていきました。当社では社内で使うPCがどこにあるかを管理していますが、人事異動や組織変更などに伴って登録された場所とは違う所で使用されていたPCもあり、それらを探し出して対処するのに予想外の手間と時間がかかりました」(矢竹氏)
被害は免れたものの、コンピューターウイルスの脅威と駆除の大変さを身をもって経験した同社では、Exabeamなどにより侵入検知の対策を強化するとともに、万一感染してしまった場合の対策も強化した。その中で目標としたのが、「感染から3日以内に事態を収束させる」ことだった。この目標を達成するには、手作業による駆除では間に合わず、自動化が不可欠だ。そこで導入したのがTaniumだったのである。
Taniumは、PCなどの端末がウイルスに感染した際、それを速やかに検知して駆除する。今日、EDR製品も各社から提供されているが、その中からTaniumを選んだ理由の一つは、NTTデータが社内で運用する複雑なネットワーク構成に効率良く対処できる点だったと矢竹氏は説明する。
「実際に検証したところ、10~20分程度の短時間で感染した端末を特定し、ネットワークから自動的に切り離してウイルスを駆除することができました。WindowsなどさまざまなクライアントOSに対応している他、社内ネットワークに現在どのような端末が接続されており、それぞれがどういうセキュリティー状況にあるかをリアルタイムに把握し、必要な場合には各端末に強制的にセキュリティーパッチを当てることができます」(矢竹氏)
