本コラムでは、当社が実際に導入から保守・運用までをサポートしたIDPSソリューションの事例を、ポイントを絞りつつ紹介します。
背景
■お客様先環境
お客様は、社員・業務委託・派遣等含め2000人規模の企業で、社内で利用しているPC端末数はおよそ3000台ある、という状況でした。
各PC端末にはすでにオンプレミスサーバで管理するホスト型IDPSソリューション(以降、旧ソフトとします)が導入されており、旧ソフトのライセンス金額が高騰したため、同等レベルの機能を持った別のソリューション(以降、新ソフトとします)に移行したい、といったニーズがありました。
こちらについて、当社にて導入から保守・運用までをサポートいたしました。
導入準備フェーズ
■導入方法の検討
旧ソフトから新ソフトに切り替えるにあたって、お客様から「一般ユーザの業務に支障が無い形で導入したい」といったご要望をいただきました。そのため導入準備段階では、サイレントオプション付きコマンド(インストーラーの画面表示が出力されなくなる)でのインストール準備を行いました。インストーラー配布とコマンド実行においても、ユーザが手作業で実行するのではなく、Active Directoryサーバからのグループポリシー配布によって、一般利用者がPC端末を再起動する際に自動でインストールされるよう工夫しました。
また、旧ソフトから新ソフトに切り替える際に、機能面でもう一点課題がありました。
新ソフトには大きく分けて以下2つの機能があり、
・エンドポイント検出対応機能(以降、EDR機能と呼びます)
・次世代アンチウイルス機能(以降、NGAV機能と呼びます)
「新ソフト導入→旧ソフト削除」の流れにおいて、旧ソフトとNGAV機能が競合してしまう、というものでした。(このような機能の競合はIDPS製品においてはよくあるケースとなります。)そこで、機能の競合を回避するために、段階的導入を行いました。具体的には以下のようなフェーズとなります。
フェーズ1:EDR機能のみに制限した状態で新ソフトを導入
フェーズ2:旧ソフトの削除
フェーズ3:新ソフトにてNGAV機能を有効化
特に、フェーズ2からフェーズ3に移行する段階では、セキュリティレベルの観点からスムーズな対応が求められたため、各端末のフェーズ状況をすぐに確認できるよう、端末管理の面にも注意しました。
■一部ユーザへの検証協力
新ソフト導入にあたっては、IDPSソリューションということもあり、事前検証にも注力しました。当社スタッフが参画していたチーム内での検証にとどまらず、社内の各部署に検証の協力を要請し、担当者を立てていただくことで、導入後のトラブルを最小化できるよう進めました。
実際に検証いただいた他部署担当者の端末では、事前検証の段階で業務用ファイルが新ソフトによって過検知されるというケースがありました。事前に十分に検証することで、導入後に業務影響を出すことなく、対象ファイルを検知の例外として処理させることができました。
導入フェーズ
■配布開始
事前検証が完了し、お客様社内での事前周知や調整が終わったことで、社内の全端末への配布が開始となります。前述した通り、全社配布にあたってはActive Directoryサーバのグループポリシー機能によって配布を行いました。
社内ネットワークのトラフィック増を抑えるために、全社の端末をいくつかのグループに分け、曜日ごとに徐々に配布を行いました。実際の配布ではインストールが想定通りに行われないケースもあったため、根気強く配布を繰り返しました。
■移行が進まない端末の対処
中にはグループポリシー配布では新ソフトをうまく受け取れない端末も存在します。このような場合は端末の責任者に個別に連絡を取り、別の方法での新ソフト導入にご協力いただきました。ユーザの皆様もそれぞれの業務があり、多忙を極める中で我々の新ソフト導入対応に時間を割いているため、ユーザの業務を配慮しつつ、一方でセキュリティレベル向上の為であることをご理解いただきながら、誠意を持って個別対応を行います。
ごく一部ですが、導入期日までに新ソフト導入が完了しない端末も出てきます。こういった端末については、社内ネットワーク認証システムの証明書を無効化するなどで、セキュリティレベルの低下した端末が社内ネットワークの接続しないよう対処します。
運用フェーズ
■作業フローの徹底
全社への導入が完了しましたら、運用と保守のフェーズが始まります。
新ソフトの機能によって社内端末にて検知があった場合のフローを導入フェーズまでに固めておき、運用フェーズで実際に発生した際には、担当作業者が速やかに対処を行えるようにフローチャートで運用しました。
■運用のその他
新ソフトにも定期的にバージョンアップが発生します。メーカーからの情報をこまめにチェックし、早めのバージョンアップを行うことで、システムの健全性を保ちます。また、導入準備フェーズでご紹介したような業務ファイルの過検知も、運用の中で度々発生します。一般ユーザからの問い合わせにスムーズに対応できる環境づくりが重要となります。
おわりに
今回は、当社で対応したIDPSソリューション導入の事例をご紹介しました。
こういったセキュリティ系製品にはありがちな話ではありましたが、リモートワーク需要も引き続き大きく、セキュリティ製品への関心は高まっていると感じておりますので、参考になれば幸いです。
もしIDPSソリューション導入でお困りの方がいらっしゃいましたら、ぜひお気軽にご相談ください。
エイムネクストのサービスは「IDS・IPS」から