ランサムウェア対策、セキュリティ強化の最後のピースは「Active Directory監視」だった
企業情報
- 会社名
- 菱機工業株式会社
- 従業員数
- 387人(2025年12月末)
- 事業内容
- 空気調和設備、給排水衛生設備、防災設備、リニューアル、再生可能エネルギー、電気設備、ZEB、海外事業
取材にご協力いただいた方
経営企画部 システム企画課 リーダー 小川 弘幹様
同上 チーフ 松田 真一様
-
目的
- ランサムウェア被害の再発防止と事業継続の確保
- 取引先からのセキュリティ調査で万全な体制を示し、信頼を維持
-
課題
- Active Directory(以下、AD)特権アカウント奪取による防御突破のリスク
- 取引先から求められるセキュリティ体制の説明責任
- 社内人員だけでは運用が困難な常時のセキュリティ監視と対応
-
効果
- 特権アカウントの不正利用を即時検知・遮断し、再発防止体制を確立
- 夜間や休日でも有人監視と対応で安心感を確保
- 不要アカウントの整理を経てアカウント運用の健全性が向上
- 取引先へのセキュリティ調査に対してセキュリティ体制を明示可能に
- バックアップと併せて事業継続性を強化
最適な事業環境づくりのために イノベーションを続ける菱機工業
経営企画部 システム企画課 リーダー
小川 弘幹様
菱機工業について教えてください
菱機工業株式会社 小川 弘幹様(以下、小川)菱機工業は石川県金沢と東京に本社を構えており、従業員は約400名です。主に空調設備工事や給排水設備、スプリンクラーや消火栓などの消防設備を取り扱っています。近年では太陽光発電にも取り組み、合計で約40MWの設備容量となる十数カ所の発電所を運営しています。全国に15カ所ほどの拠点を構え、建築設備全般を担っています。
セキュリティに関して、それぞれの立場と役割を教えてください
小川システム企画課に所属し、経営企画部で情報システム全般を担当しています。社内インフラやネットワーク、セキュリティ運用を担い、インシデント発生時には復旧作業も行うなど、技術的な対策策定から対応までを担当しています。
菱機工業株式会社 松田 真一様(以下、松田)私もインフラを担当しています。以前のランサムウェア被害時には、主にインシデント対応の初動を対応しました。平時もウイルス対策製品からアラートが発報されると、まず社内で調査し、必要に応じてクローズまで対応します。インシデント対応は小川、私、そしてもう1人のメンバーの3人で進めています。
セキュリティ業務の対象となる社内システムの規模は?
小川現在、業務端末として、Windows PCやタブレットとスマートフォンで1,200台程度を管理しています。サーバーはオンプレミスで50~60台が稼働しています。クラウド環境も一部利用していますが、まだ限定的で、全体としてはオンプレミス中心です。
御社の事業と関連して、セキュリティ対策にはどのような特徴が挙げられますか?
小川まず重要なのは建築設備の施工に必要な現場の設計図面データです。これらが漏えいすると施設の安全性に直結するリスクにつながります。例えば病院の設計図面が外部に流出すると、その図面を悪用した犯罪や事故を招く危険性があり、深刻なリスクです。
もうひとつ、私たちは多数の協力会社とビジネスをしているので、それら取引先への支払いが滞らないようにすることも重要です。過去にインシデントが生じた際には、真っ先に支払いデータの取り出しに取り組み、一日半で基幹系システムから必要なデータを復旧させ、取引先への支払いを止めないようにしました。
御社を取り巻く環境で、セキュリティ情勢の変化を感じるところはありますか?
小川以前は自社内だけでセキュリティ対策を考えていれば十分でしたが、昨今ではサプライチェーン全体でセキュリティを確保する動きが強まっています。建設業界では元請けから下請けまで、一定の情報セキュリティを確保することが求められており、最近では大手取引先の建設事業者からセキュリティ調査依頼が来るようになりました。自社でセキュリティを強化するだけでなく、取引先からの信頼とセキュリティを維持するためにも、体制を整えていることを示すことが求められています。
突然直面したランサムウェア攻撃、復旧の経緯とセキュリティ強化
経営企画部 システム企画課 チーフ
松田 真一様
現在のセキュリティ対策につながるインシデントについて経緯を簡単に教えてください
小川2022年11月にランサムウェアの被害を受けました。出社すると「不具合があるので電話をください」という伝言メモがあり、確認すると「デスクトップの壁紙やアイコンが変更されている」など不審な報告が社内から相次ぎました。そこでランサムウェアではないかと疑い、調べてみるとファイルサーバーの暗号化が進行していました。
後の調査で判明したのが、攻撃者はSSL-VPNの脆弱性を突いて侵入し、ADの特権アカウントを奪取しました。そしてウイルス対策ソフトを停止させ、ファイルサーバー内のデータを次々に暗号化していったのです。オンプレミスのファイルサーバーはほぼ全て暗号化され、オフィスのプリンターからランサムノートが大量に出力されるという事態も発生しました。
インシデント後にどのようなセキュリティ強化を施しましたか?
小川4つの強化策を実施しました。1点目はSSL-VPNを廃止し、ZTNA(ゼロトラスト型ネットワークアクセス)に切り替えることで、外部からのアクセスを厳格に制御しました。
2点目はアンチウイルスをEDRに切り替え、ふるまい検知を可能にし、さらにMDRオプションを付けて検知力と対応力を高めました。実はインシデント前には導入予定で準備を進めていたところでした。
3点目はイミュータブルバックアップの導入です。過去のインシデントでは一部バックアップから戻せなかったデータがあり、基幹系のバックアップが復旧の要となりました。その経験から、確実に戻せる仕組みを整えました。
4点目がS&JのAD監視サービス導入です。先のランサムウェア被害時にはADの管理者アカウントを奪取されたことが致命的でした。攻撃者がADの管理者アカウントを奪うと、EDRなどのセキュリティ対策を無効化して攻撃を拡大します。そのためAD監視は必須だと考えました。
他にもAD監視サービスはありますが、S&JのAD監視サービスを選んだ理由は?
松田対策のための情報収集をしている際に、他社サービスでは通知のみで終わるものばかりで、サイバー攻撃が起こりやすいのは夜間や休日なので、不安に感じていました。例えば土曜の深夜にアラートが発報されても、私たちだけでは即時に気づくことができず、対応が遅れてしまう危険性があります。実際に対応しようとしても、こちらのアカウントが攻撃によって無効化されていて素早く対応できない可能性もあります。
その点、S&Jのサービスは24時間365日の有人監視で、管理者権限が奪取される可能性が確認された場合にはプロフェッショナルが即座にアカウント停止などの判断と対応を行ってくれます。インシデントを経験した私たちにとって、ここは大きな決め手でした。
小川実はインシデント前にS&Jの三輪社長の講演を聴講したことがあり、その際にAD監視サービスの存在は知っていました。ただ当時はEDRやバックアップの導入を優先していたため、「ゆくゆくはAD監視も」という将来の候補として考えていたのです。しかしインシデント後は、必要なセキュリティ強化を一つひとつ施し、最後のピースを埋める形でAD監視サービスの導入を決めました。
AD監視で特権アカウントを厳重に保護し、事業継続を確実に
経営企画部 システム企画課 リーダー
小川 弘幹様
S&JのAD監視サービスを導入以降、運用業務はどのようにしていますか?
小川ADサーバーについては、インシデント後の数々の対応に加え、S&JのSOCで監視してもらっています。AD監視サービスを導入したメリットとしましては、月次で出力されるレポートがありますので、そちらに目を通すことで日常のチェックとしています。ログインの失敗回数など、監視で注意すべき項目が自動で集計されていますし、現状の危険度がスコアで表示されていますので、いま自社の危険度が客観的にどのくらいか確認出来ます。2022年のインシデント以降、重大なインシデントは生じていませんが、AD監視を導入したことで現状のセキュリティレベルが一目で把握できるようになっています。
松田社内で行う日常的な管理業務と、攻撃者の動作が、有人監視で判断していただけるのは非常に心強いです。例えばアカウントの追加・削除、管理者権限の付与や変更といった操作も、社内の管理者が行う操作と外部の攻撃者が行う操作では、機械的には同じ操作でも、人間が見ていると動きがおかしい、と気付けるわけです。そしてもし異常が検知されたら、S&Jから即座に連絡が入ることになっていますし、緊急の場合には弊社の承諾を待たずに管理者アカウントを無効化し、万が一の攻撃を即時停止していただけます。夜間や休日で弊社に連絡が付かない場合でも攻撃が抑止されるように対応してもらえるので、非常に安心です。これまでは「夜間や休日に攻撃が来たらどうしよう」という考えが常に頭の片隅にありましたが、いまは監視対応していただいているので、年末年始や週末を安心して過ごせています。
導入して得られた効果にはどのようなものがありますか?
小川ADサーバーでの管理者権限での不正利用を即座に検知・無効化等の対処ができるようになり、以前の特権アカウント奪取の再発を防止する体制が整いました。S&JのSOCによる有人監視と即時対応のおかげで、業務時間外となる休日や夜間でも担当者が安心して過ごせます。特権アカウントを奪取されなければ、攻撃者にEDRを無効化され、ウイルス感染やデータ暗号化などの被害拡大を防ぐことができ、特に取引先への支払いなど事業継続に必要な業務を守ることができます。
また、取引先によってはセキュリティ対策を詳しく問われることもありますが、「攻撃の対象となるADサーバーは監視サービスを導入して保護しているため、サイバー攻撃リスクを低減できている」と説明できるようになりました。さらに「万が一全面的に攻撃されても、バックアップで戻せる体制がある」と伝えれば、先方からも理解していただけます。
松田導入当初には月次レポートから、もう運用していないアカウントが一部のシステムに残っていて、繰り返しエラーが出ていることに気づきました。攻撃者のなかには、こうして見過ごされているアカウントを権限昇格させて悪用するケースもあると聞いたので、気づくことができてよかったです。
今後はゼロトラストの徹底、アカウント運用のさらなる健全化へ
経営企画部 システム企画課 チーフ
松田 真一様
今後、セキュリティ運用で注力したいことや強化したいことは?
小川現在はオンプレミス中心ですが、クラウド利用も広がっています。クラウド特有のリスクにも対応できるよう、ゼロトラストの考え方を徹底してセキュリティ強化を進めていこうと考えています。事業継続にはデータが大事ですので、バックアップとリストアの訓練も継続していきます。
松田アカウント管理の精度をより高めたいです。導入当初に不要アカウントの整理ができましたが、今後も権限付与や削除の運用ルールを見直し、より健全にしていこうと考えています。
インシデントを経験した立場から、他企業に伝えたい教訓はありますか?
小川直近では、弊社よりも大きなセキュリティ投資をしていた企業ですらランサムウェア被害が起きています。もはや「システムは破壊される」という前提で、それぞれの事業継続に必要な対策を考えるべきだと思います。セキュリティの仕組みは導入すれば終わりではなく、常に新しい技術やトレンドの変化があります。私たちもアンテナを張り続け、必要なものを採り入れていく姿勢が大事だと思っています。
S&JのAD監視については、常時監視と、いざという時に即時対応してもらえることから、最後の防波堤として頼りにしています。二度とランサム被害に遭いたくない弊社にとって欠かせない機能なので、ぜひ継続していただきたいと願っています。また、S&Jのアナリストやコンサルタントの皆さんがログの調査だけではなく、必要な対応を提案してくれるのもありがたく、頼りにしています。