横河電機株式会社 Elastic CloudでDX戦略を強化するグローバルSOC基盤を構築

横河電機は現在、デジタルトランスフォーメーション（DX）を事業戦略の主軸に位置付けており、DXの主戦略として、インテリジェントな工場にサポートサービスを提供するために、社内の制御システムなどの運用技術（OT）を情報技術（IT）と組み合わせることを掲げています。クラウドベースのAIを使用して客先工場の機器からIoTセンサーを介して収集される膨大な量のデータを分析します。分析結果から工場の操業状況のシミュレーションを作成し、デバイス障害の予測と予測に基づくパーツやデバイスの事前交換、エネルギー管理などのサービスを顧客に提供します。

横河電機はこうした戦略の集大成として、クラウド、コンテナ、データ分析、AI/ML、IIoTなどのテクノロジーを最大限に活用して、ビジネスモデルを従来の「ハードウェアの販売と保守サービス」から「サービスとしての機器の提供」へ変換することを目指しています。

横河電機では社内のDXも推進しています。たとえば、さまざまなソースから派生するデータレイクを作成し、データ活用型管理やシステム管理を一段と効率化するためにこれらデータを利用しています。

「DX戦略を実行に移すうえで特に重要なのがセキュリティの強化です」と横河電機デジタル戦略本部副部長（当時）の塩崎哲夫氏は指摘します。

たとえば、今までOTはインターネットをはじめとする外部ネットワークから遮断された閉鎖的な環境でずっと使用されてきたため、サイバー攻撃に遭うリスクはほとんどない反面、こうした攻撃に対する防御に欠ける事例も散見されました。OTをITと組み合わせることで、クラウドを使用したスマート工場への移行が促進されるため、OTとITのいずれの環境でも防御強化の必要性が高まるものと予想されます。IT環境に対する脅威がOT環境に侵入するのを阻止するためのメカニズムとシステムに加え、OT環境に侵入するおそれのある他の脅威をすばやく検知することも必要になります。

「こうした課題に対処するうえで不可欠なのが、OTとITセキュリティ分野の専門知識を蓄積することでした。専門知識がなければ、内部と外部の両方のDX戦略を確実に実行することは不可能だと考えたためです。横河電機では、社内システムのセキュリティ監視を社外のIT企業に委託する従来の方針を見直し、外部のIT企業と連携はするものの、自社のSOCを確立してセキュリティ監視を自力で実行することにしました」と塩崎氏は語ります。

塩崎氏が所属していたデジタル戦略本部は情報システム部門（IT事業部）から分離した組織で、現在は、社内でのDXの導入と社外から顧客に向けたDX戦略の支援メカニズム構築という2つの目標に集中的に取り組んでいます。

また、世界各地の拠点に地域ごとのIT部門が設置されていますが、最近では日本のデジタル戦略本部が中心となって、グローバルITサービスの共有化と、グローバルで最適化されたアプリケーションやインフラ環境の共有化を進めています。これらの取り組みは、会社のSOC立ち上げまでの準備を含め、セキュリティ製品と同じように推進されてきました。「2018年秋から、グローバルSOCインフラの構築に向けた共有ソリューションの選定に着手しました」と塩崎氏は語ります。

横河電機はこのソリューション選定過程の終了時に、SIEMソリューション、エンドポイントセキュリティ、脅威ハンティング、クラウド監視など、幅広い用途に対応するクラウドソリューションであるElastic Cloudの採用を決めました。

採用の決め手となったのは、言うまでもなく、世界的なSOCインフラを構築するために必要な要件を満たすクラウドサービスであった点でした。

幅広いデバイスとシステムからログを収集して分析できることも要件の1つであり、特定のセキュリティ製品に依存しなくてよいことが条件となっていました。たとえば、横河電機では前述のとおり、これまでセキュリティ監視サービスを委託していた外部のIT企業が侵入検知システム（IDS）を利用していました。

塩崎氏によると、現在のように高度で複雑なサイバー攻撃をIDSのみで監視するのは困難であり、誤検知が頻発していると言います。そのため、SOCインフラの構築にあたっては、さまざまなセキュリティデバイスやシステムからログを収集して分析できるソリューションが必要でした。

ところが、監視ツールの選定作業を進めていた2018年当時は、グローバル拠点で共有、標準化可能なセキュリティ製品はなく、拠点ごとに異なるセキュリティ製品を使用していました。このような多様な製品からログを収集・分析するには、特定製品に依存する必要のないオープンソースの監視ソリューションが必要でした。

横河電機は上記の要件を検討した末にElastic Cloudを有力候補に選び、2019年1月から3か月間、概念実証（PoC）を実施しました。同社が実証を試みた概念には、IDSと認証サーバー（ADサーバー）、DHCP/DNSサーバー、東京本社とシンガポール拠点の両方にあるその他のソースから収集したログをElastic Cloudに転送し、「ログ収集から分析までの所要時間」を考察するプロセスが含まれていました。PoCの結果から、Elastic Cloudを使用したセキュリティ監視は世界的なSOCインフラとして有効に機能すると判断した同社は、2019年4月にElastic Cloudを同社のセキュリティソリューションとして正式に採用しました。PoCに使用されたシステムにリソースを追加してアップグレードし、そのまま本番環境にデプロイしてから、SOCの立ち上げを目標にセキュリティ監視インフラの開発に着手しました。

横河電機がElastic Cloudを使用するSOC基盤を構築するために最初に取り組んだのは、Elasticに精通したエンジニアの採用でした。具体的には、インドのバンガロールにあるエンジニアリングセンターを通じてElasticのエンジニアを探し、SOCインフラのセットアップの中心人物となる人材を数人採用しました。

横河電機はこのプロセスでのエンジニアのスキルを磨くために、Elastic Common Scheme（ECS）の定義とLogstashサーバーログのフィルタリング構成に関するElasticのトレーニングおよびコンサルティングサービスを活用しました。

「当社の場合、多彩なセキュリティ製品からログを収集しているため、共通方式を事前に定めておかなければ、検索速度の改善は不可能でした。こうした事情から、エンジニアにECSについて学んでもらうことはきわめて重要であり、実際にこの戦略はかなり効果的だったようです」と塩崎氏は振り返ります。

横河電機はSOCインフラとデータ分析システムの構築を進め、2019事業年度に主要プラントとオフィス（日本、欧州、北米、シンガポール、中東、インド）でセキュリティ監視を開始しました。これと並行して、監視と検知アプリケーションの改良にも力を注ぎました。この取り組みの中で、Elastic Cloudを脅威インテリジェンスとIOC（indicators of compromise：サイバー攻撃を原因とするセキュリティ侵害の兆候と証拠）を連携させて、脅威の監視・検知機能の精度を高めました。

さらに2020年には中国、ロシア、南米、台湾、フィリピン、インドネシアなどの地域に監視活動を拡大しました。

この結果、脅威監視の対象範囲は、世界中の15拠点にわたるPC（ウイルス対策ソフトウェアとEDR）、主要サーバー（ADサーバー、DHCP/DNSサーバーなど）、IDS、Microsoft Azure/AWS Web Application Firewalls（WAF）に拡大しました。これらのデバイスやシステムから収集されたログやイベントデータもElastic Cloudのマネージドサービス環境に保存されました。以上のセキュリティ監視フレームワークでは収集データがリアルタイムに分析されるため、サイバー攻撃の予測とセキュリティ侵害の検知が毎日可能になります（図2）。

監視対象となるデバイスとシステムは、PCだけでも世界合計数は約3万台に達し、そこから毎日収集されるイベントデータは500から600万点（合計サイズは250から300GB）に及びます。これらデータは各種デバイスのセキュリティログから直接取得された真性のセキュリティデータレイクを構成します。

上述したとおり、横河電機ではElastic Cloudを使用して世界的なSOCインフラを確立し、着実に監視範囲を増やしていきました。この取り組みを振り返り、塩崎氏はElastic Cloud導入のメリットを次のようにまとめています。

「Elastic Cloud導入の最大のメリットは、多種多様なログを可視化し、リアルタイムで分析できるようになったことです。Elastic Cloudサービスも並行して採用したことで、世界的なSOCインフラの構築が迅速化したことも当社に大きなメリットをもたらしました」

今後、横河電機では、Elastic Cloudを活用したセキュリティ監視業務を強化していく計画です。既に、Elastic Cloud’のSIEMサービスの導入と機械学習機能を備える高度な検知プログラムを開発済みであり、MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge：脆弱性と攻撃が戦術、テクノロジー、手法別に分類される知識ベース）の利用を促進しています。

さらに横河電機ではSOCインフラをIT管理ツール（ITSMツール）のServiceNowとリンクさせ、SOCが生成するインシデントアラートにコメントや解決方法を追加する目的、および担当者に通知を自動送信する目的を果たすメカニズムを確立して、運用を開始しています。

加えてSOCインフラの構築過程で蓄積されていったElasticのセキュリティ監視に関する専門知識を、顧客にセキュリティ監視サービスを提供する運営部門にも共有することで、そのサービスの質向上につなげています。

Elastic Cloudは現在も横河電機のDX戦略をサポートし続けています。