日本の大手旅行会社であるHISは、Recorded Futureを活用して、世界58か所の拠点におけるセキュリティ運用を統一しています。認証情報漏洩の早期検知と効果的な攻撃対象領域管理を可能にすることで、ランサムウェアをはじめとするサイバー攻撃への対応力を強化します。

ゴール

インシデントを防ぐため、海外のすべての拠点に積極的な対策を導入することで、ランサムウェアの世界的な脅威に対応します。

課題

同社には認証情報漏洩を早期に検知する手段がなく、その結果、事後対応や対応の遅れが生じることが多かった。漏洩経路を特定するのも困難だった。さらに、既存の攻撃対象領域管理（ASM）プロセスは、手作業と誤検知に悩まされていた。

成果

• 漏洩した認証情報と関与した特定の機器を迅速に特定することで、迅速な対応を可能にしました。
• 攻撃対象領域管理ツールを切り替えることで誤検知が 50% 以上削減され、不必要な調査が最小限に抑えられ、より迅速で集中的な対応が可能になります。
• 世界規模で単一の統合プラットフォームを導入することにより、グローバルな情報共有と連携を向上させる。
• 即時対応能力を強化するとともに、重点的なセキュリティ強化が必要な地域や属性を特定するための分析も可能にする。

Ransomware対策の改善と効果的な構築に注力する

日本を含む世界58カ国で旅行事業を展開するHISは、「『心躍る』感覚を解き放つ」という理念のもと、持続的な成長を目指しています。同社の持続可能な成長への取り組みは、顧客体験の向上にとどまらず、強固なデータ保護にも及んでいます。

日本最大級の旅行代理店の一つであるHISは、年間数百万件の顧客予約を処理し、航空券の予約から旅行パッケージの手配まで、あらゆることを管理しています。同社はパスポート情報を含む個人情報を保有しているため、サイバー攻撃の高度化と規模の拡大に対して強い危機感を抱いている。「個人情報が漏洩した場合、お客様に重大なご迷惑をおかけすることになります。」さらに、システム停止によって業務が停止した場合の経済的損失は計り知れないものとなるだろう」と、ITシステム部門情報セキュリティガバナンスセキュリティチームのグループリーダーである石谷進氏は述べている。

リモートワークの普及とオフィス外で業務を行う従業員の増加に伴い、HISはネットワークの脆弱性に対処するため、エンドポイント保護の強化から着手した。次のステップとして、同社はランサムウェアの世界的な脅威の高まりを念頭に置き、認証情報の保護強化に注力した。

同じグループに属するセキュリティチームの石塚直樹氏は、「従業員研修を実施しているものの、攻撃者は巧妙なフィッシングメールを作成してそれを回避してくるため、研修の効果には限界がある」と振り返る。さらに、多要素認証やIDaaSソリューションを本格的に導入するには、膨大な時間と労力を要するプロジェクトとなる。そのため、まずは認証情報の漏洩を早期に検知することに重点を置き、リスクを軽減することにしました。そうすることで、パスワードの変更といった迅速な対応が可能になります。これまでは、たとえ認証情報が漏洩したとしても、どれだけの情報漏洩・侵入があったのか、どこで漏洩が起きたのかを知る方法がありませんでした。」

同社はまた、攻撃対象領域管理 (ASM)、つまり外部インターネットからアクセス可能な未知または管理されていない IT 資産を発見し緩和するプロセスでも課題に直面しました。 セキュリティチームの野上麻衣氏は、以前使用していたツールについて次のように述べています。

「以前のASM製品は誤検出が非常に多く、作業負荷が大きかった。」また、資産の追跡も毎回手作業で行う必要があり、そのプロセスをより効率化したいと考えていました。

使いやすく多機能なことからRecorded Futureを選定

認証情報の漏洩を検出するため、HISは3つの異なる製品を実際に比較検証した。その結果、彼らはRecorded Future社のIdentity Intelligenceを選択した。

選定プロセスを通じてRecorded Futureへの理解を深めるにつれ、 Attack Surface IntelligenceのASM機能が彼らの注目を集め、既存製品をRecorded Futureに置き換えることを決定した。野上氏は、「Recorded Futureの見やすいインターフェースと誤検出率の低さが非常に魅力的でした」と説明する。

同時に、石谷氏はグローバルな情報セキュリティ強化という観点から、Recorded Futureを評価した。「機能面以外にも、Recorded Futureを選んだ重要な理由の一つは、世界中で展開・利用できること、そして海外拠点それぞれにサポート体制が整っていることでした。」既にRecorded FutureのAttack Surface Intelligenceを導入していた欧州支社からの強い推薦も、大きな要因でした。

選定および導入プロセスにおけるRecorded Futureからのサポートも、もう一つの重要な要素でした。「プラットフォームの使い方に関する問い合わせへの対応が迅速だったため、スムーズに本格的な運用に移行することができました」と石塚氏は述べています。

漏洩した認証情報を早期に検知することで、組織と従業員を保護する

Identity Intelligenceを導入するメリットについて、石塚氏は次のように述べています。「認証情報が漏洩した場所をタイムリーに特定し、パスワードの変更やアカウントの停止など、迅速な対応を取ることができるようになりました。」 潜在的な脅威が大規模なインシデントに拡大する前に阻止できたことは大きな成果です。」

石谷氏はIdentity Intelligenceも高く評価している。 「セキュリティ製品の具体的な効果について語るのは難しいことが多い。なぜなら、その目的は『問題の発生を防ぐこと』だからだ。しかし、Recorded Futureを導入する前と比べると、私たちのセキュリティに対する感覚は雲泥の差だ。」これは従業員を守るための貴重な取り組みだと私は考えています。サイバー攻撃の手法が高度化するにつれ、IDやパスワードの漏洩をできるだけ早期に検知し、迅速な対策を講じることが極めて重要となる。

もう一つの大きな成果は、世界規模での安全保障の強化である。「海外オフィスで認証情報の漏洩が発覚した場合でも、Recorded Futureという共通プラットフォームを通じて緊密に連携できるようになりました。」Attack Surface Intelligenceに関しても同様です。本社は状況を把握し、同じ情報を見ながら遠隔でサポートを提供できるため、コミュニケーションが非常にスムーズになります」と石塚氏は説明する。

誤検知を半減させ、運用負荷を大幅に削減する

Attack Surface Intelligenceの導入による特に顕著な効果は、誤検知に関連する作業負荷の軽減である。 「誤検出は直接的な調査のために関係者と連絡を取るのにリソースを消費し、業務に負担をかける。」

従来使用していたツールでは、スキャンを実行するためにターゲットとなるドメインを一つずつ選択する必要があったが、Recorded FutureのAttack Surface Intelligenceはターゲットを自動的に検出してスキャンするため、チームはこの手作業から解放される。

野上さんは結果の明瞭さに満足しています。 「以前のツールでは、アラートの説明が非常に長く、読み通すだけでも大変な作業でした。」Recorded Futureは情報をシンプルな文章で表示してくれるので、内容をすぐに理解できます。詳細のレベルがちょうど良い――多すぎず少なすぎず――ため、関係者への伝達も容易だ。当初、チームの大部分が日本語を話すため、英語のインターフェースには不安がありましたが、最新の翻訳ツールの精度が高いおかげで、問題はありませんでした。

運用中のサポート体制も高く評価された。「どのようなツールを使用するにせよ、ASM（自動海底機械）の運用には専門的な知識が必要です」と野上氏は述べています。「解釈に関する疑問が生じることは珍しくありません自分で解決できない結果。しかし、Recorded Futureのサポートは非常に迅速だ。お問い合わせには数時間以内に返信があり、遅くとも1日以内には回答をいただけるので、大変助かります。

Recorded Future AIと自動化により即時対応をさらに合理化

石塚氏は今後の展望について、「困難な課題ではあるが、我々の理想の目標は認証情報の漏洩をゼロにすることだ」と述べている。彼はさらに、「 Recorded Futureで即時の能力を強化すると同時に、現状を分析して集中的な対策が必要な地域や属性を特定し、脅威を効率的に芽のうちに摘み取ることができます。」と付け加えた。これは、セキュリティ強化のための重要な指標の一つとなっています。

石谷氏は、IT人材の不足と信頼できるインシデント対応の必要性を念頭に置き、将来について次のように語った。

「運用上の労力を可能な限り最小限に抑えるため、自動化できる範囲を拡大したいと考えています。」私たちはRecorded Futureの今後の発展、特にAIの活用や様々なシステムとの統合による自動化の推進に大きな期待を寄せています。