同業者の被害は「もう対岸の火事ではない」
Active Directory監視、セキュリティアドバイザリー、 EDR(KeepEye®)など着々とセキュリティ強化
企業情報
- 会社名
- メディアスホールディングス株式会社
- 従業員数
- 92人 連結 2,589人(2024年12月末)
- 事業内容
- 医療機器販売事業、ソリューション事業、介護・福祉事業
取材にご協力いただいた方
執行役員 コーポレート統括本部 情報物流本部 本部長 酒井 辰一様
コーポレート統括本部 情報物流本部 ITマネジメント部 部長 池浦 雄介様
同上課長 關 如高様
同上課長 湯井 大貴様
-
目的
- グループ内のセキュリティ強化、リテラシー向上を進めたい
-
課題
- セキュリティ専門人材がおらず、有事の備えが手薄
- グループのセキュリティ強化
-
効果
- Active Directory(以下AD)監視で権限昇格を検知して実害を抑制
- ADとEDRの監視ができて検知と対応力を強化できた
医療インフラを支えるネットワークとシステムを死守
執行役員 コーポレート統括本部 情報物流本部
本部長 酒井 辰一様
メディアスホールディングスについて教えてください
メディアスホールディングス 酒井 辰一様(以下、酒井)医療機器の販売会社等を事業会社に持つ持株会社です。各事業会社は、医療用消耗品から最先端医療機器まで、100万点を超える商品を取り扱い、その供給を通じて医療現場を支え、長年地域医療に貢献しています。いかなる時も「医療を止めない」ことを使命として、基幹事業である医療機器販売事業に加え、物流の効率化、業務省力化に寄与するソリューション、介護福祉事業の展開により、変革する医療現場を支援しています。
情報物流本部ではどのような業務を担当していますか?
酒井名前の通り情報と物流に関する業務を担っています。ドクターに説明するための情報サービスもあれば、手術日までに納品できるようにするための物流システム、どの機器をどの患者さんに使用したか履歴を追える基幹システムなども運用しています。ここにいるのはITを統括するメンバーです。
コーポレート統括本部 情報物流本部
ITマネジメント部 部長 池浦 雄介様
セキュリティ対策としてはどのくらいの範囲をカバーしていますか?
メディアスホールディングス 池浦 雄介様(以下、池浦)グループ全体で約2500名以上の従業員がいて、使用するパソコン台数は4~5000台あります。セキュリティでは、ネットワークから基幹系システム、末端の端末まで幅広く守っています。
貴社のセキュリティ業務で特徴的なところ、特に守らなくてはならないものは?
池浦やはり基幹システムです。主事業を支える販売管理、多くの事業会社で使うワークフロー、会計システムがあります。ここで障害が起きると製品を出荷できなかったり、発注できなかったりする恐れがありますので、死守しなくてはいけません。
セキュリティ人材がいないなか、同業者がサイバー攻撃被害
セキュリティに関してどのような課題がありましたか?
池浦まずは当社にセキュリティの専門人材がいないことです。SEやプログラマーなどITやシステムの経験者はいますが、セキュリティ分野に長けている人材は不在でした。
社外にはセキュリティ製品を取り扱ってくれるパートナーベンダーはいるものの、実際に攻撃を受けた時の初動として何をすべきか、さらに言えば普段からどういうセキュリティ対策を打つべきかの 企画立案となると専門人材がいないため難しいところでした。
どんなきっかけでS&Jを知りましたか?
酒井2021年に複数の同業者がほぼ同時にランサムウェアでシステム障害を経験していました。これは対岸の火事ではないと感じ、業界にコネクションがあったので、後からどのような対策をしたのかを聞いたところS&Jの名前が出てきました。その時に初めてS&Jを知りました。
最初は何を相談しましたか?
酒井次はうちかもしれないという危機感があり、すぐ手を打てる対策は何かと相談しました。まだ期の途中でしたので、大きな投資はできません。すると即座に「AD監視」との提案をもらい検討を経てAD監視を導入しました。
素早い決断でしたね
酒井契約してからわずか3ヶ月後、弊社も攻撃されてしまいました。実害はありませんでしたが、肝を冷やしました。S&Jのようなプロがそばにいなかったら、本当にどうなっていただろうかと思います。
Emotet感染からAD権限昇格の危機
どのようなインシデントでしたか?
池浦AD監視のログに不審なアラートがあり、すぐS&Jに電話で相談しました。
S&J 髙橋ログを分析すると、不正な権限昇格が行われ、管理者権限を悪用してPowerShellが実行されていることが判明しました。こうなると、攻撃者はポリシー変更や機密情報の窃取、ファイルの暗号化を行い、身代金の要求をされることが懸念されます。即座にネットワークを止めてもらうようにお願いしたところ、素早く決断して実行されていました。通常なら時間がかかるところでしたが、メディアスさんの決断は早かったです。
池浦まずはネットワークを遮断し、並行してADを管理しているパートナーがADを至急リプレースしてくれました。一時的に管理者権限を握られたものの、実害が起きる前に食い止めることができてよかったです。
当時はまだAD監視を導入したばかりで、細かい分析はできなかったものの、Emotet感染が関与しているのは明らかでしたので感染端末は回収してリカバリしました。
アドバイザリーやEDR導入で段階的にセキュリティ強化
その後はどのような取組みをしてきましたか?
池浦今後の有事に備えてアドバイザリー契約を結び、EDR(KeepEye®)を導入しました。
先のAD権限昇格の時には「ネットワークとサーバーを止めて」と明確に指示してくれたのですごく動きやすかったです。また、定例会がありますので、「ある部署からこの パッケージソフトの導入でセキュリティに問題がないか」という具合にちょっとした相談もできるのも頼もしいと思いました。
EDR導入は、すでにアンチウイルスを導入していたものの、昨今のサイバー攻撃を鑑みるとふるまい検知など、より高度な検知能力が必要だと思っていたところだったからです。
コーポレート統括本部 情報物流本部
ITマネジメント部 課長 關 如高様
アドバイザリー契約を通じてどのようなセキュリティ強化に取り組まれていますか?
池浦例えばインシデント対応フローの策定があります。先の有事の際には何をどのような順番で実施するのかが分かりませんでした。今後に備えて攻撃されたらまず何をするか、また、対外的な情報開示も含めて役割分担と対応フローを整備しました。
細かい話ですが、先日古い回線で攻撃者からのアクセス試行があり、ネットワーク機器を入れ換えるなどしてセキュリティを強化したことがありました。
メディアスホールディングス 關 如高様(以下、關)私が担当しているシステムでは、介護保険が関係するので多くの個人情報も登録されています。実際のシステム運用管理は他のベンダーですが、そこにブルートフォース攻撃の形跡がありました。実害はなかったもののS&Jに相談して、セキュリティ強化を図ったことがあります。
メディアスホールディングス 湯井 大貴様(以下、湯井)私は脆弱性情報の調査を担当しています。日々多くの情報があるなか、どれだけ弊社に関係する深刻な脆弱性なのか判断に迷いますが、S&Jが情報整理のための解説やアドバイスをしてくれてすごく助かっています。周囲への説得力が違います。
コーポレート統括本部 情報物流本部
ITマネジメント部 課長 湯井 大貴様
池浦他にも社員のセキュリティリテラシー向上として、メール訓練も実施しています。
メール訓練に取り組むことになった理由は?
池浦どれだけシステムにセキュリティ対策を施しても、従業員のリテラシーが低いままだといつか何らかのインシデントを引き起こしかねません。仕事が終わらないから個人情報を紙で持ち出してしまい紛失するとか、フィッシングメールに引っかかってクレデンシャルを入力してしまうとか、こうしたリスクを回避するには教育でリテラシーを上げていく必要があるからです。
メール訓練の効果は出ていますか?
池浦先日、二回目のフィッシングメール訓練を終えたところです。S&Jの平均値と比較すると、引っかかるユーザーの割合は低いと聞いています。また1度目よりは2度目のほうがよい結果が出ています。
引き続きグループ全体のセキュリティレベル向上へ
あらためて、S&Jとの関わりでどのような効果を実感していますか?
池浦これまで重篤なインシデントが起きていないのが何よりの効果です。セキュリティに関して我々に足りない部分を補っていただいて、とても助かっています。グループ全体のセキュリティレベルは昔に比べたらかなり向上したと思います。
酒井最近もシステム障害のニュースを目にしましたが、「うちは起きてない」と安全を維持できていることの重要性をかみしめています。セキュリティの取組みには終わりがありません。これからもS&Jと連携しながら、セキュリティ強化に取り組んでいこうと思います。
S&J Security Operation Centerの受付前で
担当営業髙橋と
今後はどのような取組みをお考えですか?
池浦時流を見ると、ゼロトラストの考え方があるのでS&Jと検討を進めているところです。SASEの仕組みを導入し、徐々にVPNから脱却していければと思います。あとは内部不正へのけん制を進めながら、セキュリティレベルを高めていこうと思います。
※ページの内容は2025年5月19日時点の情報です。
本インタビューは弊社Security Operation Centerで実施いたしました。