ServiceNow Japanは、横河電機が同社グループ内で開発したセキュリティ監視センター「Yokogawa Security Operation Center」(以下、Y-SOC)の運用基盤として、ServiceNowの「Security Operations」導入を発表した。
横河電機では、グループ全体のセキュリティ強化を実施するために、2018年4月にバンガロールを拠点としてY-SOCを開発。現在までに世界15ヵ所を対象にセキュリティ監視を行なっているY-SOCでは、ITシステムのイベントやセキュリティログを収集し、疑わしい通信やイベントの検知や分析、自動検知プログラムを開発し、自動的なアラート通知を実施しているという。
さらなるセキュリティ強化を実施するために、Y-SOCの運用基盤としてServiceNowの「Security Operations」と「IT Operations Management」を採用。はじめに、2020年1月からIT Operations Managementの導入を開始し、グループ内で導入しているサーバーやルーターなど約30,000デバイスのIT資産を可視化し、同時に新しい脆弱性情報が公開されたときに、それが横河電機が導入しているシステムに影響するものなのかどうかをタイムリーに抽出することも可能となったとしている。
さらに、Y-SOCの各種ツールと連携したことで、自動的にセキュリティインシデントが起きた際にCMDB(構成管理データベース)の参照と優先順位付けができるようになり、セキュリティインシデント対応時間の短縮とその対応作業を30%効率化できたことが報告されているという。
加えて、2021年4月からSecurity Operationsの導入を開始し、セキュリティインシデント対応と脆弱性対応の2つのワークフローを確立。セキュリティ分析から、封じ込め、根絶、復旧、レビューまでをシームレスに実行することができるようになったとしている。具体的には、Y-SOCなどからアラート通知がリアルタイムでプッシュされると、Security Operationsが複数のサイバー脅威インテリジェンスの情報を統合的に参照。脅威度が高いものに対しては、IPアドレスやURL、ドメイン名などで自動防御の仕組みを作り、セキュリティ製品に対し通信をブロックすることを自動化したという。これにより、従来は脅威が生じてブロックをかけるまでに1-3週間かかっていたが、ワークフローができてからは1分前後に短縮することができるとしている。
また、脆弱性対応のワークフローでは、脆弱性スキャナの情報などをSecurity Operationsに取り込み、CMDBを参照しながら対象となるシステムに脆弱性があるかどうか、またリスク評価にもとづいて優先順位付け。それに応じた対応をCSIRT(Computer Security Incident Response Team)に割り当てるといったこともできるように。さらに、既存で活用しているIT Service Managementとも連携することによりIT部門とY-SOCとのスムーズな連携も実現しているという。
【関連記事】
・NTTデータ先端技術、ServiceNowを活用しITサービスマネジメントの課題を解決
・NTTデータ、従業員体験の向上を目指しServiceNow活用へ
・ServiceNow Japan執行役員社長にアドビ日本法人前社長のジェームズ・マクリディ氏が就任へ