IT Operations ManagementとSecurity Operationsで 脅威検知から対応・復旧までの時間を大幅に短縮した横河電機
35,000
グループ全体で35,000のIT資産をグローバルで可視化
30%
インシデント解決の優先順位付けにより30%の業務効率化
1分前後
1週間から3週間必要だった脅威検知後の対応までが1分前後で完了
横河電機は、社内システムのセキュリティ監視システムによって脅威が検知されると、自動的に外部からの通信をブロックし、エンジニアへの調査を依頼する仕組みをServiceNowのソリューション群で構築。脅威の検知から対処までの時間が大幅に短縮され、セキュリティ対応の効率が格段に向上しました。
グローバルなITセキュリティ監視体制を構築
石油・ガス、化学など、様々な産業で使用される計測・制御機器を開発・製造する横河電機。1915年の創業以来、国内のみならず、世界中の各種プラントの運営に欠かせない機器を提供してきました。現在、売上高の約9割を制御システムが占め、海外売上比率は約7割に上っています。
グローバルに事業を展開している横河電機ですが、ITセキュリティ管理においては、世界中の拠点が、それぞれの方針に基づいてIT機器・ソフトウェアの導入や、セキュリティ監視を行っているのが大きな課題でした。
そこで同社は、セキュリティ監視を一元的に行う「Yokogawa Security OperationCenter」(以下、Y-SOC)を設立。2020年6月までに世界15拠点をカバーする体制を整えました。
「各拠点が使用するPCやサーバ、ゲートウェーなど、約3万件のITインフラ構成アイテムからイベントやセキュリティログを収集し、疑わしい通信やイベントを自動的に検知・分析してアラートを出すシステムを作りました。Y-SOCの調査官がこのシステムを使って全拠点の監視を一元的に行い、アラートが出れば各拠点のエンジニアに対処を要請する仕組みです」と語るのは、同社 デジタル戦略本部 副本部長の塩﨑哲夫氏です。
企業名
横河電機株式会社
本社所在地
東京 日本
業種
製造業
従業員
17,715人(連結)
PRODUCTS
ITOMとSecOpsの導入によってグローバル全体のIT資産管理状況が可視化し、重大な脅威となるセキュリティ侵害を自動防御できるようになったのは大きな成果です。ServiceNowのソリューションには、とても満足しています」
塩﨑哲夫 氏
デジタル戦略本部 副本部長
全拠点のIT資産状況をITOMで把握する
自動検知・分析システムを作るためには、各拠点がどのようなITインフラ構成アイテムを使用しているのかをあらかじめ把握しておく必要があります。
そこで横河電機は、IT資産管理機能を備えたServiceNowのIT Operations Management(以下、ITOM)を20年1月に導入しました。これにより横河電機全体のITインフラの資産管理と可視化が可能となりました。並行してY-SOCのセキュリティ監視できるエリアも世界6拠点から15拠点に広がり、一部の国と地域を除き、ほぼ世界中の拠点をカバーできるようになりました。
「中国やロシアといった、海外からのアクセス制限が厳格な国に置いている拠点のIT資産状況も可視化できるようになったのはありがたいと感じました」と塩﨑氏は語ります。
地域によってセキュリティ監視の“穴”が生じるリスクがなくなっただけでなく、全拠点の約35,000に及ぶIT資産導入状況を把握することでガバナンスが利かせられるようになり、ベンダーとアプリケーションの最適化に役立つとともにグローバルなIT投資計画も立てやすくなりました。
「インシデント対応ワークフロー」を構築
さらに横河電機は、より理想的な「インシデント対応ワークフロー」を実現するため、ServiceNowのセキュリティ対策ソリューションSecurity Operations(以下、SecOps)の利用を開始しました。
SecOpsには、複数の脅威インテリジェンスからのレポートを効率よく検索・整理できる「Threat Intelligence」など、セキュリティ対策を効率化する様々なアプリケーションが用意されています。その一つである「Security Incident Response」を使うことにより、インシデントの分析から封じ込め、根絶、回復、インシデントレビューに至るセキュリティインシデントのライフサイクル管理ができるようになりました。
セキュリティ監視をするには、その対象となるIT資産情報のインベントリが欠かせません。そこで横河電機はITOMとSecOpsを連携させ、ITOMで一元化された全拠点のIT資産情報を基に、インシデントの影響範囲を把握して対応する仕組みを作り上げました。Y-SOCの各種ツールと連携したことで、セキュリティインシデントが起きた際にCMDBを参照し、優先順位付けができるようになり、セキュリティインシデント対応時間の短縮とその対応作業を30%効率化できました。塩﨑氏は、「従来は、攻撃対象となり得る機器、その所有者やOSといったプロファイル情報がよく分からないことが多かったのですが、ITOMとSecOpsを連携させたことで特定が容易になり、影響範囲も分かるようになりました」と語ります。
SecOpsで脅威への自動防御を実現
さらに重大なセキュリティ侵害については、同社が開発した自動検知・分析システムなどとSecOpsを連携させることで、自動防御できるようにしました。
具体的には、自動検知・分析システムなどからアラート通知がSecOpsにリアルタイムでプッシュされると、複数のサイバー脅威インテリジェンスの情報を統合的に参照し、脅威度が高いIPアドレスやURL、ドメイン名などを特定して、通信を自動的にブロックする仕組みです。これにより、定期的にインシデントレビューをかけるといったワークフローが実現しました。従来は脅威が生じてブロックをかけるまでに1 ~ 3週間かかっていましたが、このワークフローによって1分前後に短縮することができました。
また、脆弱性診断の情報などをSecOpsの「Vulnerability Response」に取り込み、ITOMのIT資産管理台帳を参照しながら、対象となるシステムの脆弱性の有無やリスク評価に基づいて優先順位付けをする、脆弱性対応のワークフローの確立も実現しました。
塩﨑氏は「ServiceNowのソリューションにはとても満足しています。今後はその活用によって生み出したセキュリティソリューションを当社のお客様にも提案し、グローバルに展開する企業の手助けになればと思います」というビジョンを描いておられます。
PDFをダウンロードする
