ANDRITZ社のIT環境では2020年初めにサイバーセキュリティー・インシデントが増え始めました。当時はMSSP(マネージド・セキュリティー・サービス・プロバイダー)が同社のIT環境を監視していましたが、侵害の増加が示すように、変化が必要な時期に来ていました。IBM® Securityと契約し、IBMマネージド・セキュリティー・サービス(MSS)の統合サービス群の導入をバーチャルで完了したところ、それから6カ月足らずで、同社は新しい包括的なセキュリティー・サービス・ソリューションを確立することができました。
産業用プラント、装置、ソリューションの大手プロバイダーであるANDRITZ社では、サイバー脅威への対応が徐々に難易度を増していました。理由の1つは、同社のIT環境に多様なシステムとセキュリティー・ポリシーが含まれていて、セキュリティーの取り組みが複雑化していたことです。しかしそれ以上に課題だったのは、同社のセキュリティー境界や攻撃対象領域の巨大さでした。ANDRITZ社は世界中に280以上の生産拠点やサービス組織、販売組織を擁しています。27,000人の従業員の約50%は出張で同社のネットワークやリモート接続手段を利用し、ITリソースに自動でアクセスします。加えて、主要なITシステムにアクセスできる外部請負業者やエンジニアも多くいます。
ANDRITZ社の最高デジタル責任者であるKlaus Glatz氏はリスクを認識していました。「当社の装置に対して、さまざまなリモート接続が行われます。ANDRITZ社の従業員だけでなく、多数の外部企業も含まれます。だからこそ、透明性と可視性、そして現状の包括的な把握が重要です。お客様の事業を危険にさらすわけにはいきません」
ANDRITZ社の顧客企業は、水力発電所、パルプ工場、製紙工場、化学プラント、金属加工工場を稼働しており、ANDRITZ社のプラント、装置、システムが事業に欠かせません。IT環境でセキュリティー侵害や脆弱性があった場合、特に脅威アクターの目的がデータの盗難にとどまらないときには、きわめて広範囲に影響が及んだり、壊滅的な事態につながる恐れがあります。
可視性の向上
ネットワーク全体を100%可視化
巨大な決済ボリューム
プラットフォームで1日に数百万件のイベントを処理
ANDRITZ社のグループITセキュリティー・運用サービス担当バイス・プレジデントであるThomas Strieder氏は次のように話しています。「IT部門は基本的なインフラストラクチャー、サービス、アプリケーションを世界中の全従業員に提供しています。同時に私たちのチームはOT(オペレーショナル・テクノロジー)のサービスをお客様に提供しています。この2つの分野はつながっており、今後そのつながりはますます密になっていきます」
ANDRITZ社は一連のリスクを意識し、ITとOTの融合を念頭に、OTサイバーセキュリティー企業であるOTORIO社を2018年に設立しました。現在ANDRITZ社のサイバーセキュリティー戦略においてOTORIO社は重要な柱の1つとなっています。しかし2020年に入り、OTのセキュリティー対策が整ったことから、ANDRITZ社は今度はITに注目しました。
ANDRITZ社が目指したのはサード・パーティーが運用するサイバーセキュリティー・ツール群の導入のみではありません。その先を見据えた明確な目標を当初から打ち出していました。同社が必要としていたのは、自社の要件を理解し、既存のチームや体制を補完できるサービス組織でした。
ANDRITZ社は2020年7月、複数のプロバイダーを調査したうえで、それまでのMSSP(マネージド・セキュリティー・サービス・プロバイダー)に代えてMSSを採用しました。IBMは、ソフトウェアの統合、セキュリティー・サービスの実装、世界全体への展開によるSaaS(Software as a Service)モデルのメリットの実証など、包括的なソリューションの設計と導入を6カ月足らずで完了させました。新型コロナウイルス感染症のパンデミックの影響で、世界のチームが直接会うことはできなかったため、作業はすべてリモートで行い、打ち合わせはバーチャル会議でした。それには双方のプロ意識と信頼関係がひときわ必要となりました。
Strieder氏は言います。「最初は、IBMは巨大企業で官僚的すぎるという先入観があり、当社にはきっと合わないだろうと思っていました。しかし一緒に仕事をして、考えを改めました。IBMはまさに期待どおりの仕事をしてくれました。非常に柔軟に対応し、当社の要求に耳を傾け、適切なソリューションを考え出してくれました」
ANDRITZ社はセキュリティー情報およびイベント管理(SIEM)にSaaS型のIBM® Security QRadar on Cloudを採用しました。ANDRITZ社がポーランドで運用しているセキュリティー・オペレーション・センター(SOC)では、このプラットフォームを利用して、脅威の検知と修復に専念しています。インフラストラクチャーの管理はIBM Securityの担当者が24時間体制で行っています。SIEMはネットワーク全体の複数のソースからデータとログ・イベントを取り入れます。SOCは、ネットワーク、エンドポイント、資産、脆弱性、脅威データなど、さまざまなデータの種類に対する高度な分析と相関付けによって、セキュリティーの全体像を把握します。
ログインに何度も失敗するなど、不審なアクティビティーやパターンが検知されたときには、自動アラートがトリガーされます。IBM Securityのチームは、その重要度に応じて、チケットを作成するか、あるいはSOCと直接連携して、推奨の対応策を提示します。またANDRITZ社はIBMインシデント対応サービス・チームに直接の調査を依頼することもできます。
「このソリューションで当社の環境を適切に保護できます」とGlatz氏は言います。「情報が格段に増え、透明性が大きく向上します。通常は1日に何百万件ものイベントが発生します。その中でも特に重大で、環境への潜在的なリスクが高い25件か30件のイベントを従業員が把握し、ピックアップすることが重要です」
このSIEMサービスを補完するサービスは2つあります。1つはIBM® X-Force Red脆弱性管理サービスで、これには順位付けと修復のサポートも付随しています。もう1つはIBMマネージド検知対応サービスで、こちらはCrowdStrike Falcon Preventのウイルス対策テクノロジーと統合し、脅威検知と修復を迅速化します。
X-Force Red脆弱性管理サービスは、ANDRITZ のシステムをスキャンし、セキュリティー脆弱性を評価します。各スキャンでは、共通脆弱性評価システム(CVSS)を使用して重大度別に脆弱性を評価するレポートが生成されます。これは、ANDRITZがインシデント対応の優先順位を付けるのに役立ちます。
「当社の事前対応を担う構成要素は脆弱性管理です」とStrieder氏は説明します。「脆弱性管理には落とし穴が数多くあります。こうした脆弱性を明らかにし、最初に対処すべきものに優先順位を付けてくれるソリューションが必要でしたが、共同でそれを実現することができました」
マネージド検知対応サービスは、SIEMサービスがピックアップしたアラートを呼び出します。機械学習とAIを使用して、従業員のノートPC、携帯電話、その他のインターフェースで生じているアクティビティーを評価します。異常な挙動を検知した場合には、システムをロック・ダウンして、ANDRITZ社に調査の時間を与えることができます。
ANDRITZ社は、SIEMとセキュリティー・プログラムの機能を強化するために、脅威についてのインサイト、保護、検知、対応、リカバリーの機能を統合した包括的なサービスであるIBM Security X-Force脅威管理サービスを活用しています。
IBM Securityサービスとテクノロジーにより、ANDRITZ社では、ビジネスに影響を及ぼす前に、脅威の重大度、範囲、根本原因を事前に検出し、把握することができます。一元化されたダッシュボードにより、ネットワーク全体から前例のない可視性とインサイトが得られます。
「私たちは確固たるソースを多数作成し、攻撃の影響を最小限に抑えることができています」とGlatz氏は言います。「ネットワークは継続的に分析しています。IBM Securityが提供する堅牢な基盤は100%の可視性と透明性を備えており、ごく短期間で脅威を解決することができます」
ANDRITZ社はマネージド検知対応サービスを導入したことで、エンド・ユーザーのシステムへの感染につながり得る挙動をより簡単に検知できるようになりました。これはパンデミックの際には特に重要だったとStrieder氏は言います。「最大の成果は、防御が強化され、万一の事態への備えが大幅に向上したことです。27,000人のユーザーの在宅勤務が可能となり、私たちはそのセキュリティーを実現できました。その頃は、IBMと協力して導入に取り組んでいる段階でした」
ANDRITZ社が新たな脅威を理解し対抗できるよう、IBMは同社に対し、継続的改善とイノベーションのための2時間のセッションを四半期ごとに実施しています。今後の脅威の状況に目をやることは重要だとGlatz氏は言います。「セキュリティーにおいては、来月、あるいは来年起きる可能性があることを把握する必要があります。私たちが提携したIBMは、今から6カ月後に何が起きるかを予見できる企業です」
今後に向けてANDRITZ社が目指しているのは、OTの情報やOTORIO社のサイバー脅威インテリジェンスをSOCに統合し、セキュリティー環境をさらに幅広く把握することです。「当社はデジタル・サービス・プロバイダーへと変貌しつつあります」とStrieder氏は言います。
「製紙工場、水力発電設備、金属など、当社が手がけているすべての事業に関して、ITとOTのサイバーセキュリティーにこれまで以上に注意を払う必要があります。この取り組みは今後も続き、決して止まることはありません」
オーストリアのグラーツに本社を置くANDRITZ社(ibm.com外部へのリンク)は、水力発電所や、パルプ業、製紙業、金属加工業向けのプラント、設備、サービスを手がける国際的サプライヤーです。また、地方自治体や産業部門向けに固液分離ソリューションも提供しています。設立は1852年で、現在は世界40カ国以上に27,000人以上の従業員を有しています。
OTORIO社(ibm.com外部へのリンク)は、次世代のOTセキュリティー・ソリューションやデジタル・リスク管理ソリューションの設計と販売を手がける企業です。イスラエルのテルアビブに本社を置き、オーストリアと米国にオフィスがあります。OTORIO社はANDRITZ社の包括的なサイバーセキュリティー戦略の一翼を担っています。OTORIO社の経営陣はイスラエル国防軍(IDF)でサイバー防衛部門の設立や運営に携わった経歴を持つメンバーで構成されています。
法務
© Copyright IBM Corporation 2022. 日本アイ・ビー・エム株式会社 〒103-8510 東京都中央区日本橋箱崎町19-21
2022年3月、米国で作成。
IBM、IBMロゴ、ibm.com、IBM Security、QRadar、および XForceは、International Business Machines Corp.の商標であり、世界中の多くの管轄区域で登録されています。その他の製品名・サービス名はIBMまたは他社の商標である可能性があります。IBMの登録商標の最新リストは、Webサイトの「著作権および登録商標情報」(ibm.com/legal/copyright-trademark)でご確認いただけます。
本書は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMが事業を展開している国であっても、特定の製品を利用できない場合があります。
記載されている性能データとお客様事例は、例として示す目的でのみ提供されています。実際の結果は特定の構成や稼働条件によって異なります。本資料の情報は「現状のまま」で提供されるものとし、明示または暗示を問わず、商品性、特定目的への適合性、および非侵害の保証または条件を含むいかなる保証もしないものとします。IBM製品は、IBM所定の契約書の条項に基づき保証されます。
適切なセキュリティ実践に関する声明:ITシステムのセキュリティには、企業内外からの不適切なアクセスの防止、検出、対応を通じてシステムと情報を保護することが含まれます。不適切なアクセスは、情報の改ざんや、破壊、悪用、誤用、または他者への攻撃への使用を含む、システムの損傷または誤用につながるおそれがあります。ITシステムや製品は完全に安全であると捉えるべきではなく、不適切な使用やアクセスを防止する上で絶対に効果のある、製品や、サービス、セキュリティー対策は1つもありません。IBMのシステム、製品およびサービスは、合法的で包括的なセキュリティー・アプローチの一部として設計されているため、必然的に運用手順が追加されることになります。また、最も効果を発揮するために他のシステム、製品、またはサービスが必要となる場合があります。IBMでは、いずれの当事者による不正行為または違法行為により、いかなるシステム、製品もしくはサービス、またはお客様の企業に対して影響が及ぶことはないことを保証するものではありません。