• セキュリティ分析
  • 製造業

株式会社リコー: CSIRT、SOCにおけるリアルタイムデータの活用を促進し、“見える化”を実現することでリコーグループのセキュリティを強化

導入事例の全文を読む(PDFダウンロード)

AT A GLANCE

  • 35
    ノード Elasticsearchクラスター
  • 3450
    億ドキュメント
  • 2
    テラバイトElastic Stackが扱う1日のログ

Company Overview

1936 年の設立から80 年を超える社史を誇る株式会社リコー(以下、リコー)。連結子会社・関連会社222 社、グループ従業員数97,878 名、連結売上高2 兆633 億円、売上の60% 強が海外売上というグローバル企業だ。コピー機やプリンターに代表されるオフィスプリンティング事業をはじめ、オフィスサービス、商用印刷、産業印刷、サーマル等の事業を展開している。 

ネットワークを含めたIT 環境全体の「見える化」が重要課題に

巨大なリコーグループにおいて、日本国内のグループ企業のデジタルトランスフォーメーションを推進するデジタル推進本部。同本部内に2017 年11 月に新設されたセキュリティ統括部は、経営課題として重視される情報セキュリティを専門とする部署だ、CSIRT やSOC としての機能を果たし、ファイヤウォールなどセキュリティ機器を含めたIT インフラの運用全般を司っている。

セキュリティ統括部が開設される以前、リコーグループのシステム運用では1つの課題を抱えていた。デジタル推進本部 セキュリティ統括部の和久利智丈氏は、「インターネットはインターネット担当、WAN はWAN 担当という形で縦割りのバラバラな運用が行われており、さらに外部委託で運用していたサービスもあったため、IT 環境で何が起きているのかが見えない状況でした」と回想する。さらに、IT 環境可視化の必要性を強く意識させられる事件が起こる。2017 年5 月、世界中の企業や組織を襲ったマルウェアWannaCry の一件だ。WannaCry はMicrosoft Windows を標的としたワーム型ランサムウェアで、侵入したシステムのLAN 内の他の端末に対してWindows の脆弱性を悪用し感染拡大を図る。当時、ネットワークの切り替え中だった同社も被害を受けた。「この状況を受け、ネットワークを含めたIT 環境の“ 見える化” が急務であると痛感しました」(和久利氏)。この一件もあり、リコーの経営層に対して和久利氏が行った“ 見える化のための仕組み構築” を含むセキュリティ強化の方針提案は即座に承認され、さらに、これがセキュリティ統括部の新設へと繋がった。

以前からKibana を含めたElastic 製品に注目。Elasticsearch 日本法人設立で導入を決定

オープンソースにも造詣が深かった和久利氏は、見える化に向けたプロジェクトが立ち上がるずっと以前からElastic に強い魅力を感じていたと言う。「データベースを専門にしていたため、Apache Lucene の全文検索機能に興味があり、これをベースとしたElasticsearch や可視化に向けたKibana については、以前から導入したいと考えていました」(和久利氏)。しかし、当時Elasticsearch という会社は存在しておらず、またKibana を扱えるエンジニアが確保できなかったこともあり、割高な他社製品を使用して可視化に向けた初期システムを構築する。

"以前からElasticを導入したいと考えていました。その法人化で採用が決定し実際に運用する中で、これまで曖昧だったネットワークやシステムの姿が「見える化」され、明確にその状況を把握して対処できるようになりました。"

和久利 智丈 氏, デジタル推進本部 セキュリティ統括部

そして数年が経過した後、待ちに待ったElasticsearch の法人化というニュースが届き、2014 年9 月には日本法人も設立された。和久利氏は、「非常に嬉しかったですね。法人化によりドキュメントや製品体系の整理、さらに確実なバージョンアップが保証されたことで、Elastic 製品を採用できる前提が整いました」と話す。見える化の機運の高まりと共に、WannaCry の脅威に晒されたリコーがセキュリティ統括部の新設を決定したほぼ同じタイミングとなる2017 年10 月、Elastic Stack の導入が決定された。

すべてのログをElastic Stack 上に集約。35 ノードで1 日2TB のログを監視

導入から1 年あまりが経過したElastic Stack だが、カバーするリコーグループのシステムは非常に大規模なものとなっている。同社のシステム環境に展開されるほぼすべてのIT デバイスからのログがElastic Stack に集約され、監視対象になっていると言っても過言ではない。

和久利氏は、「リコーグループ全システムのIT デバイスで発生する1 日2 テラバイトにおよぶログが、すべてElastic Stackに送り込まれます。これを35ノード、約400テラバイトのクラスターで処理します。インデックス数は約10,000 でサイズは約250 テラバイト。ドキュメント数は3,450 億にも及びますが、これは昨年12 月の話で、現在はさらに増えている状況です」と話す。Elastic Stack の製品については、ElasticsearchLogstashKibanaFilebeatPacketbeatWinlogbeatMonitoringAlerting 等が使用されており、特に見える化でキーとなるKibana については、セキュリティ統括部のオフィス室内で、大型モニターに常時チャートが表示され、担当者がシステムの状況をリアルタイムかつ直感的に把握できるようになっている。

レスポンスを速めプロアクティブな対応を実現。不要パケットも数%に削減

大きな期待の下、運用を開始したElastic Stack だが、その導入効果はすぐに多くの面で 発揮された。

デジタル推進本部 セキュリティ統括部の佐藤淳氏は、RICOH-CSIRT リーダーでSOC を統率しており、過去の監視システムと比較して次のように語った。「2017 年のWannaCry の際には、ポート445 の通信が大量に発生する異常な状況が起きましたが、当時の監視システムでは、インターネット境界とエンドポイントで発生している事象を結びつけるためには膨大な時間がかかりました。言うまでもなく、事が起きてからリアクティブにアクションを取るという形態だったのです。Elastic Stack 導入後は、自分たちがログを監視して異常の兆候に気づき、迅速かつプロアクティブに対応できるようになりました。これは大きな導入効果と感じています。

RICOHCSIRTのモットーは、未然防止、早期発見、迅速対応としており、Elastic Stack によってこれが実現されました」

"これまでは事が起きてからのリアクティブな対応でしたが、Elastic導入後は、自分たちがログを見て気づき、迅速かつプロアクティブに対処できるようになりました。チームが掲げる未然防止、早期発見、迅速対応が実現されたのです。"

佐藤 淳 氏, デジタル推進本部 セキュリティ統括部

外部からの脅威だけでなく、ケアレスミスや不注意などによって起こるトラブルに対しても効果が発揮された。和久利氏は、「リコーでは働き方改革を推進しており、コミュニケーションツールとしてビデオカンファレンスを多用しています。以前は動画が停止するといったトラブルが発生していましたが、原因はアプリ等のアップデートで認証エラーになり、大量の不要トラフィックが発生していたことによるものでした。Elastic Stack によってこの実態が明らかになり、可視化が実現されたことで、早々の対処に踏み切ることができました。これにより、以前は月間の全通信量に多大な影響を与えていた不要トラフィックが、今ではわずか数%にまで低減されました」と話す。Elastic Stack は、結果として働き方改革におけるコミュニケーションの効率向上にも貢献したことになる。

さらに、リアルタイム性、詳細な情報までの容易なドリルダウンなど、Elastic Stack の特長を最大限に活かすことで、現場とのやり取りがスムーズになり、「怪しい通信や設定ミスを含めて、何月何日何時何分何秒から、何百回、ここに向かって通信しているから絶対におかしいといったように、具体的な数値を示しながら自信をもって言えるようになったことは、非常に大きなメリットと感じています」と和久利氏は強調する。

データの蓄積から活用へ。Elastic Stack をセキュリティだけでなくIT プラットフォーム化

大きな導入効果を発揮したElastic Stack だが、リコーの視点は既に次の段階に向けられている。和久利氏は、「これまではElastic Stack への蓄積の段階でしたが、今後は本当の活用の段階に入ると思っています。また、これまでのセキュリティ用途だけでなく、全社的なIT プラットフォームと位置付けていきたいと考えています。運用とSOC のメンバーが一丸となって、ダッシュボードや日々のメトリックス検知の精度を向上したり、データ確認の頻度を増やしたり、さらにマシンラーニングを活用することで、リコーグループのIT マネジメントの質を高めていくことができると考えています」と今後の展望について話す。

佐藤氏は、Elasticsearch との協業に言及し、「今回はCSIRT、SOC の立場でお話をしましたが、今後もセキュリティ製品のヘビーユーザとしてElastic Stack の活用を続け、改善提案なども積極的にしていきたいと思います。その意味で、Elasticsearch 社による継続的な質の高いサポートを期待しています」と強調した。

最後に和久利氏は、Elastic Stack について触れ、次のように締めくくった。

「リコーグループのIT 基盤で大きな課題となっていた“ 見える化” というテーマが、Elastic Stack を導入し、オープンソースコミュニティの力を借りることで、低コストでスムーズに実現できたことは非常に有難いと感じています。IT の世界には終わりがなく、常に進化していくものなので、リコーからも新たな要望を出し続け、Elasticsearch 社にはその実装をお願いしたいと思います。使い倒す気概の私に対応していただき、双方で競い合っていく形になればと願っています」

進化するIT を逐次取り入れながら、グローバル規模で幅広いビジネスを展開するリコーグループ。同社の日々のビジネスを支えるシステム環境において、Elastic Stack は既に不可欠な存在となっている。

"“見える化”というテーマが、Elastic Stackの導入により、低コストでスムーズに実現できたことは非常に有難いと感じています。ITの世界は常に進化するため、Elasticsearch社に新たな要望を出し続け、その実装をお願いし、使い倒す私たちと双方で競い合っていく形になればと願っています。"

和久利 智丈 氏, デジタル推進本部 セキュリティ統括部