株式会社インターネットイニシアティブ
SOCサービス導入で24時間365日体制かつ迅速なセキュリティ対応を実現!
月300件のアラート検知・処理がほぼゼロへと大幅減
Topics
導入前の課題
導入後の効果①
サーバ・PCのふるまい検知やインシデント状況の可視化、年間約1,000万円のコスト削減を実現
MDEに変更したことで、何か変化はありましたか。
IIJ 大野
サーバやPCでのふるまい検知ができるようになりました。インシデントが発生したり、疑わしい動作があったりした場合、自動で調査してくれる機能もあります。自動で対応してもらえる部分は大きなメリットだと思います。また、ソフトウェアの構成管理やWebアクセス制御のほか、管理ポータルから各デバイスにログインして、何かあったときの情報収集ができるようになりました。このような統合管理ができるようになった点も、導入効果としてあると思います。
管理本部 事業基盤システム2部 情報基盤課
大野奈津
三浦
アンチウイルスの場合はパターンファイルを更新しないと検知できませんが、MDEは怪しい動きを見て判断をしているため、未知のマルウェアでも検知できます。そのため、以前よりも検知力は上がったと思います。また、MDEには複数の製品やデータソースからのアラートとイベントを自動的に関連付け、統合された「インシデント」として提示する相関分析があり、すべてのアラートがタイムラインのように可視化されます。それを見れば「その人がどこにアクセスして何をしたのか」が分かるので、より調査しやすくなりました。また、Microsoft 365はE5を利用していたため、Defenderシリーズを追加費用なしで利用できました。それによってこれまで使用していたエンドポイントセキュリティ製品のライセンスが不要になり、年間約1,000万円以上のコスト削減を実現しました。
導入後の効果②
セキュリティ体制を強化しつつ、アラート処理の工数を大幅減
MDEとIIJ C-SOCサービスの連携を決めた理由を教えてください。
三浦
MDE導入前は「ウイルスを検知しました」「隔離しました」というログが多かったですが、MDEでは、ふるまい検知により「動きがおかしい」といったところも判断するので、これまでよりも検知する内容が増えています。月によっては、アラートが300件程度になることもあります。300件の中には軽微なものから重要なものまでさまざまあり、MDEの修復が終了しているものもあります。その中から「これは対応する」「これは対応しない」といった判断をすべてのログを調べた上で行うのは、当時の体制では難しいと感じていました。そういったアラート処理の工数を減らすために、自社のセキュリティオペレーションセンターにて、専任のセキュリティアナリストが24時間365日体制でインシデントへの対応を行う「IIJ C-SOCサービス」との連携を決めました。
また、IIJ C-SOCサービスとは既にファイアウォールとの連携を行っており、EDRも監視対象に加わることで、複数のレイヤーから相関分析を行うXDRを実現することができました。
IIJ C-SOCサービスを導入して効果はありましたか。
三浦
効果はありました。私たちもすべてのアラートに関する専門的な知識を持っているわけではなく、EDRに関する知見もそれほどたまっていたわけではありませんでした。そういったところをIIJ C-SOCサービスにカバーしてもらい、危険かどうかの判断を委ねられる点は大きなメリットだと感じました。
大野
IIJ C-SOCサービスから対応が必要なケースだけを連絡してくれるようになったので、私たちがログを見て調査する必要がなくなり、これまでの月300件あったアラート処理件数がほぼゼロにまで減りました。そのため、これまでかかっていた調査の時間を他の業務に振り分けることができるようになりました。
IIJ 待山
MDEには、Severity(重大度)としてHighやMedium、Lowなどが表示されますが、中にはすでに対処されているものもあります。Mediumでも名前がないものなど、「これ本当?」と思うこともあります。セキュリティは日進月歩で、情報がどんどん更新されるので、すべてを追っていくのは難しいと思います。専門の知見がある人にログ情報を見てもらえるというのは安心感があり、本当にありがたいですね。
管理本部 事業基盤システム2部 情報基盤課
待山昌寛
これまでIIJ C-SOCサービスから重大アラートが通知されたことはありますか。
三浦
一度だけあります。そのときは、連絡をもらってすぐにその端末を切り離し、迅速に対処できました。私たちはすべてのログをいつも追いかけているわけではないので、自分達だけでチェックしていた場合、迅速に対応できたのか不安に感じました。
待山
マルウェアは、年末年始や夜間など、担当者がいない時間を狙うこともあります。IIJ C-SOCサービスは24時間365日のシフト体制なので、その点でも安心です。私たちは、Defenderの管理画面の優先度やプランを見て初めて、「これはすぐに対応しないといけない」という判断をします。システム的に検知していても、人間が認識しないと動けないので、休日や夜間に迅速に対応することは難しいと思います。
今後の展望
ふるまい検知の対象を増やし、さらなる検知力向上を目指す
SOC利用に関して、他社へのアドバイスはありますか。
三浦
よく、セキュリティ人材を確保すべきだといわれますが、人手不足の中では難しいことも多いです。外部サービスを利用することも解決策の1つだと思います。
待山
脆弱性は日々変化しており、新しい技術や情報も出されています。知見の蓄積や情報収集は私たちも行いますが、年々高度化しているセキュリティ対策を情報システム部門だけで実施していくのは難しくなってきています。特に情報システム担当者が一人しかいない企業は大変でしょう。24時間365日張り付いているのは不可能ですから、SOCのような専門家に依頼するサービスは有効だと感じています。
今後、セキュリティ対策として、どういった点を強化していきますか。
三浦
被害を最小限にするためには、まず検知することが重要になります。今後は、Linuxサーバも含めてふるまい検知の対象を増やし、さらに検知力を上げていきたいと思っています。
導入したサービス・ソリューション
プロフィール
株式会社インターネットイニシアティブ
本社:102-0071 東京都千代田区富士見2-10-2 飯田橋グラン・ブルーム
設立:1992年12月3日
資本金:23,037百万円(単体)
従業員:5,221人(2025年度:連結)
※ 本記事はは2026年1月に取材した内容を基に構成しています。記事内のデータや組織名、役職などは取材時のものです。
導入事例
資料請求・見積依頼もお気軽に
新たな脅威に対応できるEDRやさらなるセキュリティ強化が必要
日頃の業務内容について教えてください。
IIJ 三浦
事業基盤システム2部では、社内情シスとして、社内のネットワークや仮想サーバを含むオンプレミスサーバの企画から運用のほか、パソコンやスマートフォンの配布や管理、ユーザーサポートなどを行っています。
管理本部 事業基盤システム2部 副部長
三浦博文
2023年6月に、エンドポイントセキュリティ製品として、「Microsoft Defender for Endpoint(MDE)」を導入されていますが、その理由を教えてください。
三浦
元々エンドポイントセキュリティ対策として、PCとスマートフォンにそれぞれ別のアンチウイルス製品を導入していました。ただ、パターンファイルが対応していないと既知の脅威しか検知できないため、昨今のセキュリティ状況を考えると、新たな脅威にも対応できるEDR(Endpoint Detection and Response)製品を導入する必要があると考えていました。ちょうどMicrosoft 365を導入した時期で、この中のDefenderシリーズにはセキュリティ製品が色々あるので、それらを組み合わせて使うことでセキュリティを強化できると考えました。