1日3桁のアラートに忙殺　エンタメ企業のSOCがEDR刷新でこだわった製品選定のポイントは？：リプレース後の運用人数は3人から1人に

誤検知や過検知の多さ、アラート対応による運用負荷の高さを問題視して、EDR製品の刷新に踏み切ったコロプラ。約3カ月で5つのEDR製品を比較検討したという同社が、選定時にこだわったポイントは。

以前のEDR製品は誤検知や過検知の多さによる運用負荷が課題に

　コロプラはスマートフォンゲームやコンシューマーゲームを提供しているエンターテインメント企業だ。会社設立は2008年10月。現在は、本体および業務委託契約先を合わせて数百人規模のエンジニアがソフトウェアとコンテンツの開発やシステム運用に携わっている。エンターテインメントコンテンツ開発環境のセキュリティを強化するため、コロプラがEDR（Endpoint Detection and Response）製品の入れ替えを考え始めたのは、2024年初夏のことだった。

　「以前のEDR製品は誤検知や過検知によるアラートの件数が毎日3桁程度発生しており、われわれの業務に支障が生じていました」と語るのは、同社のセキュリティオペレーションセンター（SOC）で運用を担当する水口健太氏。毎日多くのアラートが発生するため、その対処に3人の担当者がかかりっきりになっていたと振り返る。

水口健太氏（コロプラ IT戦略推進部 サイバーセキュリティグループ）

　「コンテンツ開発のスピードを落とさないようにするために、エンジニアには彼らが望むITツールをなるべく自由に使ってもらいたいと弊社は考えています」と、システム管理グループマネージャーの上間陽平氏は説明する。在宅で勤務する従業員のIT環境がオフィスと異なることも誤検知・過検知が増える要因だと考えていた。

　既存EDR製品のエージェントソフトの動作が不安定だったことも懸念の1つだった。「エンドポイントであるPCをEDR製品で保護するには、その中にエージェントソフトを組み込んでおく必要があります。しかし以前のEDR製品は、エージェントソフトの更新が失敗したりエンドポイント保護が突然無効になったり、といったトラブルがしばしば発生していました」と水口氏は説明する。このトラブルに対処するにはSOCの担当者がエンドポイントの実機を現地で確認する必要があり、これが業務負荷をさらに重くしていた。

カスタマイズ性と動作安定性を評価してSingularity Endpointを採用

　このような課題を解決できる次期EDR製品の検討が始まったのは、2024年6月のことだった。コロプラのシステム管理グループとサイバーセキュリティグループは、候補となる製品を共同でリストアップ。約3カ月で5つのEDR製品の概念実証（PoC）を実施した。

　製品選びとPoCの評価基準として同社が重視したポイントは幾つかある。それまで使っていたEDR製品と同等以上の機能を持ち、運用方法もそれほど変えなくて済むこと。そして、費用も大きく変わらないことが主な条件だった。

　機能要件として同社が重視したのは、エンドポイントのPCや業務サーバが脅威にさらされていないかどうかをリモートで監視するための機能だ。「それまで利用していたEDR製品では、エンドポイントのPCやサーバについての情報を収集する目的でオープンソースソフトウェア（OSS）のOS監視ツール『osquery』を使っていました。新しく採用するEDR製品でもosqueryの実行手段または代替機能を利用できることが重要でした」（水口氏）

　併せて、PCのUSBポートを監視する機能や検索・追跡機能など、以前のEDR製品で日常の監視業務とセキュリティインシデント発生時の調査業務に利用していた機能も要求項目としていた。

　非機能要件として求めたのは、対応OSとバージョンの多さ、検知精度の高さ、キッティング（PCやサーバへの組み込み）のしやすさ、移行のたやすさなどだ。コロプラは業務PCと開発環境で幅広いOSを利用していたため、「Windows」「Windows Server」や「Linux」の複数ディストリビューションとバージョン、「macOS」など、カバー範囲の広さが不可欠だった。検知精度の高さは稼働後のチューニングによっても左右されるが、PoC期間中に大まかな傾向を調べた。

　約3カ月の検討を経て、コロプラはSentinelOneのEDR製品「Singularity Endpoint」の導入を決めた。採用の決め手として、水口氏は「多様なIT環境とさまざまな要望に合わせて柔軟にカスタマイズできること」と「動作の安定性」を挙げる。イベント検索機能が使いやすく、目的に応じてクエリを調整しながら必要な情報を効率的に検索できることは、運用管理担当者にとって特に魅力的だった。ユーザーコミュニティーのWebサイトに技術ドキュメントが多数登録されていて、ユーザーが疑問を自己解決できることも「サイバーセキュリティグループのエンジニアにはありがたいポイントでした」と水口氏は語る。

　一方、システム管理グループの立場では「稼働後の維持費用を前EDR製品と同レベルに抑えることができた」（上間氏）ことが最大の評価ポイントだった。「前EDR製品から移行するためのベストプラクティスがSentinelOneから豊富に提供されたので、移行に関する疑問点をすぐに解決できました」と上間氏は振り返る。

上間陽平氏（コロプラ IT戦略推進部 システム管理グループ マネージャー）

　「比較検討する過程で、SentinelOneは『以前のEDR製品で使っていた機能や処理を同じように使うにはどうすればいいのか』という相談に対する回答が迅速かつ的確だったのが印象的でした」と2人は口をそろえ、この点も導入の後押しになったと語る。

　移行作業が始まったのは2024年9月中旬のことだ。従業員への展開に当たっては、まず各部署が選んだ少人数の先行導入ユーザーに動作の安定性や使い勝手を試してもらった。その工程で問題がないことを確認し、10月から正社員および業務委託先の約1400台に大規模展開した。「全社展開は2024年12月に完了し、前EDR製品の契約期間が満了する日までにとてもスムーズに移行は完了しました。また、検知ポリシーのチューニングも簡単に短期間で実施できました」（上間氏）

誤検知・過検知が減った結果、担当者の人数を従来の3分の1に削減

　Singularity Endpointに移行してから、誤検知と過検知の比率は大幅に減ったという。Singularity Endpointの導入後、1日に発生するアラートは数件程度になったため、セキュリティ担当者は1人で業務を処理できるようになった。「アラート画面だけではなく、自ら脅威ハンティングが行える機能や攻撃プロセスを可視化するStoryline機能と、使いやすい検索機能の組み合わせによって、アラートやインシデントの調査が容易になりました」と、水口氏は高く評価する。エージェントのアップデートに関するトラブルがなくなったことで信頼性が高まり、突然のトラブル対応に慌てて対処することもなくなった。これにより、日常の運用業務も大幅に効率化した。「この安定性は大きなメリットで、運用側としても非常に助かっています。エージェントソフトのリリースサイクルや管理クラウド更新のタイミングもベンダーがきちんと明文化しているため作業計画の見通しを立てやすく、効率的に作業できます」（水口氏）

　コロプラはSentinelOneを資産管理的なツールとしても利用している。MDM（モバイルデバイス管理）は、Windows用とMac用で別々の製品を利用しているため、全社的な資産管理は手間がかかるが、SentinelOneを使うことで1つのツールで、OSやソフトウェアのバージョンを統合的に把握し、管理することが可能になる。

　こうしたSentinelOne導入の結果として、工数の余裕が生まれ、コロプラはセキュリティ対策の質を高める活動を強化しようとしている。進行中の取り組みとして水口氏が挙げるのは「クラウドインフラやグループウェアのセキュリティ強化」「脆弱（ぜいじゃく）性診断の実施」「運用フローに存在する脆弱な部分の見直し」などだ。ヘルプデスク業務にもより多くの時間を割けるようになった。

　さらなる運用効率化を目指してサイバーセキュリティ業務の体制についても見直し始め、外部のSOCの利用を検討する余裕も生まれている。「弊社はこれまで社内のサイバーセキュリティグループにSOCの役割を全て担ってもらっていました。それが可能なメンバーがそろっているからです。ただし、この状態は属人性のリスクがあるとも言えるため、持続可能性を考える上では一部業務の外部委託も必要かもしれません」と上間氏は語る。当面は、特別な判断を必要としない定型的なケースや夜間・休日対応など、範囲を限定して外部委託を検討するという。同様の観点から、セキュリティ業務の自動化やさらなる省人化についても検討している。「人がやらなくてもよいところはシステムに任せたい」（上間氏）という意向の下、SentinelOneのセキュリティプロセス自動化ソリューション「Singularity Hyperautomation」の導入も検討している。

　エンターテインメントコンテンツの開発環境をセキュアにすることは、顧客データをサイバーセキュリティの脅威から保護することにも役立つ――。この信念の下、コロプラはこれからもセキュリティ対策の質を高める努力を続ける。水口氏と上間氏はこう語る。

　「Singularity Endpointは、安全性、運用管理のしやすさに配慮され、脅威からしっかり守ってくれるEDR製品だと評価しています。また、製品としての安定性も大きな魅力です。パラメーターや検知ルールなどカスタマイズ性にも優れていて、検索機能の柔軟性も高いので、業種業態を問わずエンドポイント保護の強化に役立つでしょう。PoCで試していただければその魅力はすぐに実感できると思います」（水口氏）

　「EDR製品の入れ替えは頻繁に起きることではありません。いったん決めたら、そのベンダーとは長いお付き合いになります。製品理解が深く、ユーザー企業の課題に視点を合わせてくれるSentinelOneは、信頼できるパートナーだと思います」（上間氏）

※本稿は、SentinelOneからの寄稿記事を再構成したものです。

提供：SentinelOne Japan株式会社
アイティメディア営業企画／制作：＠IT 編集部／掲載内容有効期限：2025年8月9日