中央発條株式会社

中央発條株式会社はAI主導のDarktraceソリューションを導入したことで、ネットワーク全体に対するリアルタイムの脅威検知と自動遮断を実現。これにより、SOCの外部委託コストをかけることなく、自組織でゼロデイ攻撃やランサムウェア攻撃のリスク軽減が可能となりました。

~2,400

IP接続されたデバイス数

24/7

自律遮断

会社概要

愛知県名古屋市に本社を置く中央発條株式会社（以下、中央発條）は、1948年の設立以来、「ばねとコントロールケーブル」の総合メーカーとして、自動車を動かす上で欠かせない重要部品の開発・製造・販売を行い、お客様のニーズと時代の要請に応えてきました。最近ではコントロールケーブルの技術を応用した非自動車部品も製造し、建築用装置や福祉関係装置等にも製品開発の幅を広げて

業種

製造 & 供給

従業員数

1000-5000

国

APJ

“DarktraceはNDR製品としてMITRE ATT&CKフレームワークで定義される戦術やテクニックのほぼ全てに対処できるAI検知モデルを搭載する一方、社内の膨大なトラフィックデータを常時収集し、定常状態を学習し続けるため既存の枠に収まらない新手の攻撃や内部脅威の発生時もそれらを予兆の段階で自律的に検知してくれます。ベイズ推論を使いながらセキュリティの変換点管理を人に代わって実行してくれる非常に優れた製品だと思います”

IT企画部今村肇様

ゼロデイ脆弱性を狙う攻撃への不安と人手不足‍

中央発條におけるサイバーセキュリティ対策として、従業員が利用する端末にエンドポイント保護プラットフォーム（EPP/EDR）製品を導入し、併せてファイアウォール製品もL4からL7に更新しました。このように外部からの攻撃に対する境界防御を中心に、多層防御によるセキュリティ強化の一環で、さらにウェブプロキシ製品も活用しながら外部との接触を最小限に抑える出入口対策を徹底していました。しかし、ランサムウェアやゼロデイ攻撃に対しては既存のセキュリティ対策だけでは不十分であると感じ始めていました。

運用面では、各境界型製品による膨大なログの分析・調査を行う人手が足りず、ログを溜め込んでしまう状態が続いていました。またそもそもEDR製品をインストールできない機器も社内に存在し、境界防御だけでは脆弱性の最小化につなげることが困難なこと、さらにこれらの対策はシグネチャベースであり、未知の攻撃やゼロデイの脅威には対処しきれません。

これらの課題を踏まえ、パッチワーク型の境界防御をこれ以上「点」で継ぎ足すのではなく、社内の通信や端末の状況をおしなべて一元的に監視・可視化し、ネットワークの出入口や内部で発生するインバウンド・アウトバウンド双方のトラフィックを「面」で漏れなく把握できるNDR製品に目を向けました。その中でもAIによる自己学習型アプローチを採用するDarktraceの製品であれば限られた人的リソースをAIによって補完できるのではと考えた中央発條は、同社のオンプレミス環境における約2,400台のIP端末を対象にPOV（※）を開始しました。

（※）Proofof Value：4週間の導入前検証。

ネットワークの生活パターンを自己学習・完全可視化するNDR

HW/SW一体型のアプライアンス型製品として提供されるDarktraceのNDR製品（Darktrace / NETWORK^TM）は、従来の境界型防御製品と異なり、既存のルールやシグネチャに依存しません。事前設計やメンテナンスも不要ながら、各組織固有のユーザー・デバイスの挙動や通信の定常状態（生活パターン）を、独自開発の自己学習型AIによりデジタルインフラの種類を問わず常時機械学習・完全可視化し、定常から逸脱するサイバー脅威をリアルタイムに自律的に検知・遮断します。さらに、検知した脅威の調査分析・日本語によるレポーティングまで高速自動化する世界初の技術（Cyber AI Analyst^TM）も提供しています。

Darktrace / NETWORKの評価にあたって、中央発條が特に注目したのは、その機械学習アプローチのシンプルさにあります。同製品は、ITネットワークのコアスイッチに接続してポートミラーリングに設定することで、業務端末や各種サーバー間を流れるすべての通信パケットのヘッダー情報を取得、解析することが可能となります。これにより、通信の宛先や時間帯、通信量・通信頻度などの要素をもとにAIが常時解析し、ユーザー毎、デバイス毎、サブネット毎にこれらの挙動を継続的・自律的に学習。定常状態から逸脱するいかなる未知の脅威や内部不正も即座に検知・可視化します。

また、異常度の高い通信に対しては、リセットパケットの自動送出により当該通信異常を24時間365日体制で自律遮断することもできます。

AIによるリアルタイム異常検知・トリアージ

中央発條ではしきい値を設定してDarktrace製品を運用していますが、情報漏えいや業務に支障をきたす恐れがある深刻な脅威はこれまでに検知されていません。POV期間中、軽微な異常として社内LAN上であるPCから別のPCにSMB通信が行われたことや従業員が外部ストレージの情報を書き出したこと、さらにC2通信の可能性などについてDarktrace/NETWORKがリアルタイムに検知しました。

従来導入していた境界型防御製品では当該通信のログは残るものの、事後に自ら深掘調査する必要がありました。一方、Darktraceは普段と異なる通信という観点で自律的かつ即座にアラートを発報します。かつその異常度の高低に応じてAIがアラートのトリアージを行うため、通信異常の把握や原因調査にかかる工数が大幅に減り、網羅的に対策できている安心感が生まれました。

AI自動レポート機能でSOC費用を削減

さらに、Darktrace / NETWORKに自動付帯するCyber AI Analystの機能は、検知したアラートを人間のアナリストが人手で調査分析する際の数百万におよぶ思考パターンを数年にわたり機械学習し続けたAI が脅威調査までも高速自動化、検知したアラートの因果関係を主要な言語で瞬時に文章化し、AIが自動生成したレポートをワンクリックで PDF 出力します。

日本語によるレポート作成までを自動化できるこの機能により、中央発條では有人SOCを自社で整備あるいは外部に委託する追加コストをかけることなく、24時間365日にわたるセキュリティの自動監視・調査体制を敷くことができました。

‍