九州電力とQsolが挑む、
社会インフラを守る
“能動的サイバー防御”の最前線
九州電力グループは、「ずっと先まで、明るくしたい。」をブランドメッセージとする「九電グループの思い」のもと、グループ一体となって、エネルギーの安定供給に加え、地域の成長と持続可能な社会の実現に向けて、エネルギーの枠を超えた価値創出に取り組んでいます。今回、社会インフラを支える九州電力は、攻撃者視点を取り入れた脅威ハンティングなど、能動的サイバー防御の実効性向上を目的に、脅威インテリジェンスプラットフォームRecorded Futureを導入しました。 社会インフラを担う企業として、九電グループ全体のセキュリティ戦略を検討・推進している九州電力と、同社のSOC(サイバーセキュリティ対策専門部門)業務を日常的に担い、密接に連携しているQsolに対し、Recorded Futureの導入に至った背景や採用の経緯、導入による効果、そして今後の展望について詳しくお話を伺いました。
お客様プロフィール
九州電力株式会社
テクニカルソリューション統括本部
情報通信本部
サイバーセキュリティ対策室
セキュリティ運営グループ
児玉 隼人 様
Qsol株式会社
ITインフラ本部
インフラアーキテクト部
サイバーセキュリティグループ
長尾 伸司 様
Qsol株式会社
ITインフラ本部
インフラアーキテクト部
サイバーセキュリティグループ
永峰 慎也 様
※所属部署は取材当時のものです。
・限られた脅威情報の収集範囲
・情報収集・分析に対するSOC業務の負荷
・年間約2,500時間の工数削減見込み
・対応判断の属人性排除と標準化
・ダークウェブや攻撃者フォーラムなどの非公開領域を含む多角的な脅威情報の取得
・攻撃者の動向把握による先回り対応の強化
目次
-導入理由-
脅威に先手を打つ能動的サイバー防御の戦略とSOC体制の強化
「攻撃を受ける前提」で備える
――今回、脅威インテリジェンスの導入を検討された背景について教えてください。
児玉様:世界情勢の急激な変化によって、重要インフラ企業がサイバー攻撃の標的となる機会が増加していることから、業界内でも「能動的サイバー防御」の重要性が強く認識されるようになりました。
私たちも2023年度にセキュリティ戦略を見直し、サイバーセキュリティフレームワークやMITRE ATT&CKといった国際的なフレームワークを用いて自社の現状の対策や体制を分析しました。
その結果、「能動的なサイバー防御」、つまり、脅威を先回りして検知し、先手を打つための情報収集体制が不十分であることが明らかになったのです。
――具体的には、どのような情報が不足していたのでしょうか?
児玉様:特に、攻撃者の視点に立った情報収集の必要性を強く感じていました。
ダークウェブや攻撃者フォーラムといった非公開領域での動向や、脆弱性の悪用状況など外部の脅威情報をリアルタイムで把握する手段が限られていました。
これでは潜在的な脅威に先回りして対応することができず、対策が後手に回ってしまいます。
そこで、情報源を多角化し、より広範かつ深い情報、つまり脅威インテリジェンスが必要であると考えました。
SOCの負荷と属人化
――脅威インテリジェンス導入の背景には、運用面での課題もあったと伺いました。
長尾様:はい。私たちは九州電力のSOC(サイバー攻撃の検知や分析を行い、対策を講じる専門組織)業務の支援も行っていますが、年間12,000件を超えるアラート対応に約6,000時間を費やしている状況でした。
情報収集や分析業務の負荷が非常に高く、対応の質はアナリストのスキルや経験に依存していました。
現時点では対応できていたとしても、将来的には対応の遅れや判断ミスが重大なインシデントにつながるリスクをはらんでいたため、大きな課題となっていました。
こうした背景から、情報収集と分析業務の効率化を図ること、誰が対応しても一定の品質を保てるように判断を標準化し、対応の質を平準化することが急務と考え、脅威インテリジェンスの導入を決断しました。
-導入の決め手-
現場検証で見えた、SOC運用にフィットする網羅的かつ信頼性の高い脅威情報
――多くの脅威インテリジェンスの中で、最終的にRecorded Futureを導入するに至った経緯や決め手を教えてください。
長尾様:実は、当初の情報収集段階では、Recorded Futureは候補に挙がっていませんでした。
私たちは当初、インシデントレスポンス分野で実績のある製品を中心に調査および検討を進めており、特にEDRにIoC(Indicator of Compromise:侵害の痕跡)情報を付加できるインシデント対応機能に着目して、机上での評価を重ねていました。
児玉様: そうした中、電力ISAC(電気事業者間のサイバーセキュリティに関する情報共有および分析を行う組織)にて、テクニカル会員であるインテリジェントウェイブ社(以下、IWI)が主催した脅威インテリジェンスの技術勉強会に参加したことをきっかけに、Recorded Futureの有用性を実感することができました。
Recorded Futureは、インシデントレスポンス機能の性能の高さに加えて、提示される情報が非常に豊富なデータに基づいており、一人のベテランアナリストによる判断と同等のレベルで、的確な意思決定を支援してくれる点が非常に印象的でした。
長尾様:複数の製品の検証を進めましたが、最終的にRecorded Futureを選定した一番の決め手は、情報の網羅性と信頼性です。
IoCに関連する過去の攻撃実績やマルウェアのC&Cサーバ、悪用された脆弱性の種類、さらには関与が疑われる攻撃グループの動向など、幅広い情報をもとに、各IoCや脆弱性に対してリスクスコアとその根拠が明確に示されている点は、非常に信頼できると感じました。
また、詳細な条件指定による検索が可能なアドバンスドクエリ機能などを活用することで、自社のニーズに合わせた情報収集が可能だったのも大きなポイントです。
検証の段階から、サポートが非常に手厚く、技術的な質問にも迅速かつ丁寧に対応していただけたことも安心材料でした。
導入後の運用を見据えると、こうしたサポート体制の充実は非常に重要です。
――検証で重視された点についても詳しく教えてください。
長尾様:最終的な判断においては、実際の業務にどれだけフィットするかが非常に重要でした。
そのため、単に機能を見るのではなく、運用のイメージがしっかり持てるかどうかを重視して検証を進めました。
具体的には、SOC業務において最低限必要とされる機能が備わっているかどうか、そしてRecorded Futureが現場の業務効率や判断の精度にどれだけ貢献できるかという観点から評価を行いました。
永峰様:評価にあたっては、機能面と運用面の両方から検討しました。
機能面では、まずIoC情報の調査がしやすいこと、たとえばマルウェアや攻撃キャンペーンに関連するIPアドレスやドメインの確認ができるかどうかを見ました。
また、IoCの信頼性や悪性度をスコアや根拠付きで評価できる、いわゆるレピュテーションチェックが可能かどうかも重要なポイントでした。
さらに、CVE情報に関しても、単なる脆弱性の一覧ではなく、実際に悪用されているかどうかといった実態に基づいた情報が得られるかを確認しました。
運用面では、SOC業務における業務効率化への貢献が大きな焦点でした。
たとえば、情報収集や分析にかかる時間をどれだけ削減できるか、また、従来は限られたソースに頼っていた脅威情報を、オープンソースや商用、ダークウェブといった多様な情報源から収集できるかといった点も重視しました。
加えて、誰が見ても同じ判断ができるように、情報が分かりやすく整えられているかどうかも、重要な評価ポイントでした。
児玉様:検証を通じて、私たちが抱えていた「能動的なサイバー防御の実現」と「SOC業務の負荷軽減」という2つの課題に対し、Recorded Futureであれば確実に解決できるという確証を得ることができました。
この実感が、導入を決断する最大の後押しになりました。
-導入効果-
SOC業務効率化から戦略的活用まで広がる脅威インテリジェンスの価値
SOC業務におけるアラート対応にて年間約40%の工数削減
――Recorded Futureの導入によって、どのような効果が見込まれていますか。
長尾様:Recorded Futureの導入により、情報の収集・加工・分析対応において年間約2,500時間、約40%の工数削減が見込まれており、限られたリソースをより高度な業務に再配分できるという点で、非常に大きな効果を発揮しています。
最近では、5月にスレットインテリジェンスモジュールに追加された新機能「マルウェアインテリジェンス」を、セキュリティ製品の性能検証を目的として活用しており、特定の挙動をするマルウェアファミリーを指定して検体情報を効率的に収集することができています。
――Recorded Futureの導入が、SOC体制にどのように貢献していますか?
長尾様:セキュリティの現場では、限られた人員と時間の中で、膨大なアラートに対応しなければならないという課題を多くの企業が抱えていると思います。
私たちも同様でしたが、Recorded Futureを導入したことで、脅威に関する判断材料を短時間で得られるようになり、SOCの対応力が大きく向上しました。
すべてのアラートに100%の時間をかけることは現実的ではありません。だからこそ、注力すべきアラートを見極めるためのインテリジェンスが非常に重要です。
Recorded Futureは、情報が整理されて提示されるので、判断のスピードと質が上がり、結果として組織全体の防御力も底上げされました。
属人性を排除し、判断の質とスピードを平準化するためにも、脅威インテリジェンスは非常に有効です。
セキュリティ人材の確保が難しい今だからこそ、インテリジェンスを武器にするという発想が求められていると思います。
脅威インテリジェンスを経営判断の武器に
――Recorded Futureの今後の活用方法についてお聞かせください。
児玉様:今年度から本格的に取り組み始めた、脅威ハンティングの高度化において、Recorded Futureを活用し、攻撃者のTTP(戦術・技術・手順)を事前に分析することで、さらなる能動的サイバー防御の体制の強化を目指しています。
その実現に向けては、SIEMやEDRとRecorded Futureとの連携精度をさらに高め、アナリストがより戦術的に動ける環境を整備していくことが、直近の強化ポイントとなっています。
また、戦略インテリジェンス活用の応用を進めていきたいと考えています。
Recorded Futureで取得した業界別・地域別・技術別の脅威マップを定期的に報告したり、攻撃者グループの動向や脅威スコアを経営層向けのダッシュボードに反映させたりすることで、SOCの運用支援にとどまらず、投資判断の裏付けとしても活用していきたいですね。
-今後の展望とメッセージ-
脅威インテリジェンスを共通基盤とし、現場と戦略が連携して信頼されるセキュリティ体制を目指す
――同様の課題を抱える企業へのメッセージをお願いします。
児玉様:電力業界は国家的に重要な社会インフラであることから、攻撃者にとって戦略的な標的となりやすく、サイバー攻撃の質・量ともに年々高度化しています。
こうした脅威に対し、的確な判断と迅速な対応を行うためには、組織内外で共通の認識を持つための共通基盤として、脅威情報の活用がますます重要になると考えています。
九州電力では、戦略部門とSOCが密接に連携し、攻撃者の視点を踏まえた状況把握と、現場における判断基準の整理を通じて、限られたリソースの中でも最適な対応を可能にするセキュリティ体制の強化に取り組んでいます。
攻撃者が情報や手法を共有し、連携して活動する現代において、守る側もまた、業界全体で情報を共有し、蓄積された知見を相互に活用する協力体制が求められています。
こうした取り組みは、個社の防御力向上にとどまらず、社会全体のサイバーセキュリティの底上げにもつながると考えています。
私たちは、社会から信頼される組織であり続けることを目指し、今後もセキュリティ体制の強化に取り組んでまいります。
――IWIも九州電力様、Qsol様の取組みに貢献できるよう、情報提供に努めてまいります。本日は貴重なお話をいただきありがとうございました。
九州を中心に電力の安定供給を担いながら、地域の暮らしと産業を支える電力企業。再生可能エネルギーや海外市場の参入、都市開発など多角的に事業を展開しながら地域社会と環境への貢献を重視し、持続可能な未来の実現を目指しています。
(九州電力株式会社WEBサイトを参照)
「ICTで未来を創造する」を掲げ、九州電力の基幹系システムをはじめとする高度なICTインフラの開発・運用・保守を担う、九電グループのIT中核企業。信頼されるICTパートナーとして、次世代の価値創出に挑戦し続けています。
(Qsol株式会社WEBサイトを参照)
脅威インテリジェンスプラットフォーム「Recorded Future」の関連資料
-
脅威インテリジェンス
プラットフォームの
概要資料脅威インテリジェンスプラットフォーム「Recorded Future」の概要、ユースケース、提供形態などがわかる資料
-
リスクを把握し、サイバー脅威に先手を打つ方法
リスクを把握し、サイバー脅威に先手を打つ方法についてご紹介する資料
-
セガサミー様導入事例
Recorded Futureを活用し、自社のセキュリティ対策の課題をどのように解決したかを紹介した資料
