フルリモート体制でも安全に業務を進めるために。Saleshubが選んだ「EDR+SOC」の導入効果

久内様（以下、久内）：

弊社は、企業が新規開拓したい企業名をまとめたリストを用意し、それらの企業とつながりを持つ「サポーター」へ紹介を依頼することで商談アポイントをセッティングしてもらえる、独自の紹介営業プラットフォームを提供しています。

私の担当領域はコーポレートITとしてセキュリティ領域からインフラ周り、社内で使うサービスやツールの導入選定を担当しています。

久内：

いえ、社内SEとして15,6年ぐらいの経歴はありますが、弊社に入社した2022年4月からセキュリティ領域もカバーするようになりました。

久内：

弊社はフルリモートワークを基本としており、Windows・Macなど端末OSを含めて社員が自由に選択する環境が整備されています。

しかし、多様なデバイス環境でリモートワークを行うと、セキュリティ面でのリスクは高まります。

以前はWindows端末は「Defender」を、Mac端末は標準のセキュリティ機能でカバーする運用でしたが、今後の会社の規模拡大に向けてセキュリティ強度を高める必要性を感じていました。

ただ弊社はまだ小規模な企業で、専任のセキュリティ担当者がいないこともありEDRを調べていくうちに運用コストがネックになるかもしれないと感じておりました。

山本：

「セキュリティ担当者が足りない」という声は多くの中小～ベンチャー企業で共通する悩みです。とくにフルリモートで端末が分散しているとなると、目が届かない部分が増えます。そうした背景から「EDR+SOC」のセット導入を検討されるお客様が増えていると感じますね。

久内：

思い立ってすぐに導入に至ったというわけではなく、「本当に効果がある製品を選びたい」という意識が強かったので、最終候補の3つのセキュリティ製品を各2週間ずつ試してみました。MITRE社^*1による性能比較レポートや海外の検証記事を読み込み、検知率や操作性・コストなどを独自にスコア化していったんです。
その上で「どの製品が自社の環境・予算に最適か」をじっくり検討しました。検証開始から最終的な導入決定まで、3～4か月ほどかかったと思います。

山本：

すごい！！！ベンダー提供の比較表はどうせ信用ならないから自分の手を動かしたってことですね。しかも、セキュリティに携わるのが初めてなのに、MITREに行き着いて、おまけにあの難解な英文をご自分で読み込んだんですか？

久内：

MITREの情報は重要度として高いのはもちろんなのですが全てのOSで動作するか？など弊社ならではの必須要件もあり、下記のような項目に重みづけをして候補製品を比較しました。

• 多OS対応（Windows / Macで安定動作するか）
• UI/UXや管理コンソールの操作感
• 実際に検知が起こった際の自動処理範囲
• 導入後のサポートや運用支援体制
• 社内で許容できるコスト感

実はMITREのスコアだけで言えば最終的に導入した「SentinelOne」が他の製品に劣っている部分もあったんですが、なぜ低いのかを調べていただいて理由を明確にしていきました。

それぞれの理由が納得できるものだったので、見た目上のスコアが低かったとしても問題ないと判断することができました。

山本：

この”項目ごとに重みづけをしてスコアリング”というのは大変重要なキーワードだと思います。外部のレポートだけに依存するのではなく、自分の組織は何の機能がどれだけ必要かを内部で整理されたのは情シスとして理想的な姿としか言えません。

EDRの導入は一度入れて終わりではなく、継続運用が肝心です。Saleshub様のようにきちんと要件を洗い出し、社内の予算観や運用体制と比較しながら絞り込むのは理想的な進め方だと思います。

久内：

一番の理由は「SOCまで含めて予算内に収まる」ことでした。正直、SOCは高額なイメージがあって最初は諦めかけていたのですが、アクトさんの場合、ライセンス費用とのセットでも大きな負担にならず、しかも補助金が使えたのでかなり導入ハードルが下がりました。
また、SentinelOne自体の検知精度やAIによる自動防御が高く評価されている点も大きかったです。未知のマルウェアやランサムウェア対策としては、業界でも最先端レベルという安心感がありました。

山本：

SOCサービスというと「24時間の有人監視で費用が高い」と思われがちですが、弊社は予算が潤沢とは言えない中小企業様でも導入しやすい価格帯を意識しつつ、補助金情報のご提供や導入支援のフォローもあわせて行っています。お客様が本当に必要としているレベルに応じ、無理のない範囲でSOCを付けることができるのが強みですね。

久内：

ほとんどありませんでした。導入作業で分からないことがあっても、アクトさんとはSlackでつながっているので、気軽に問い合わせができます。大手の会社でよくある問い合わせフォームやメールだとタイムラグが大きいですが、Slackならリアルタイムで質問→回答がもらえるため、導入プロセスもスムーズでした。

久内：

「すごくセキュリティが強固になった！」という実感よりは、アラートの精度や自動ブロック機能のおかげで「不安が減った」という印象です。フルリモートの働き方であっても、端末レベルで自動的に危険を封じ込めるので、日々の業務を安心して進められます。
また管理コンソールが非常に分かりやすいので、もしアラートが出た時も、SOCサービスを利用しながら自社側でも素早くログを確認して対処できるようになりました。

久内：

非常に大きいと感じます。弊社はコーポレートIT担当が私一人なので導入前から運用コストを抑えたいと考えていたのですが、実際にSOCサービスがあることで運用負担がほぼありません。アラートを自分で判断しなければならない場合もありますが、最終的にはアクトさんのSOCチームにも相談できるので「もし誤った判断をしてしまったらどうしよう」という不安がありません。
さらに、設定面で困ったことがあってもSlackでサポートにすぐ確認できるので、導入後も「想定外のトラブルに追われる」という事態が起きていないのは大きいですね。

久内：

今のところ端末レベルの対策がある程度落ち着いてきたので、次はネットワークやクラウド認証まわりを含めたゼロトラスト化の推進を考えています。また、従業員へセキュリティリテラシーを高めてもらうための社内勉強会やテストも実施予定です。私ひとりでは対応が大変なので、運用や拡張の相談をアクトさんに継続して行っていきたいですね。

山本：

Saleshub様のように段階的に強化していくアプローチは大変重要です。いきなりすべてのセキュリティ領域を網羅しようとすると、コストもオペレーションも膨れ上がりますから。まずはEDR+SOCで端末防御を固め、徐々にクラウドやネットワーク対策へ拡大していく。引き続き運用支援を通じて、そのステップアップを全力でサポートいたします。