こんにちは！JSecurityの真鍋です。

本日は、株式会社土屋ホールディングス様のランサムウェア対策についてご紹介させて頂きます。

 

株式会社土屋ホールディングス様のご紹介

住宅事業の株式会社土屋ホーム、リフォーム事業の株式会社土屋ホームトピア、不動産事業・賃貸事業の株式会社土屋ホーム不動産の

3つの会社を傘下に置き事業展開している株式会社土屋ホールディングス様。

北海道札幌市を拠点として総勢800名弱の従業員と2,000を超えるパートナー企業がいらっしゃいます。

土屋ホールディングス様HP

 

今回は、株式会社土屋ホールディングス様がAppcheck（アップチェック）を活用したランサムウェア対策の取り組みをご紹介します。

ランサムウェア対策AppCheck

 

 

 

「AppCheckによりランサムウェア対策を３週間で実現」

 

 

“ランサムウェア対策を行う必要性を感じたきっかけ”

 

　私たちDX推進室は、グループ全体のデジタル活用推進を検討企画するメンバーとして経営陣に提言する形でランサムウェア対策に着手しました。

DX推進室では、業務効率や情報セキュリティの観点から業務のデジタル化、ペーパーレス化、個人情報保護、社内データの活用など

グループ全体の経営課題を整理してその解決策を示すことを使命として活動を行っています。

ランサムウェア対策を行う必要性を感じたのは、標的型攻撃メールの訓練サービスを実施したことがきっかけです。

 

”やっぱりか？と思った。標的型攻撃メール訓練の成績”

 

　昨今、注目が集まっていた標的型攻撃メール対策に対して、自社社員の認知度や実際に攻撃された時に

どの程度の社員が被害を受けてしまうかを試してみたいという気持ちで訓練サービスを活用して実施しました。

結果は、一般企業の初回訓練の平均より２倍以上もの社員が攻撃メールを開封してしまうという結果でした。

訓練後のアンケートでも全社員の３〜４割は「無関心」「知らなかった」と回答をしており、やっぱりか....と思いました。

当社には、ITが苦手という社員が少なくないという感覚はありましたし、ランサムウェアなど最新の

情報セキュリティに関しても情報発信も啓蒙活動もしていない中では当然の結果と受け止めました。

 

”ランサムウェア被害による取引先への支払い停止が最も問題”

 

　DX推進室の定例会議や経営陣が集まるリスク対策委員会で結果の報告を行い、最新のサイバーセキュリティに関する情報収集やその共有も頻繁に行うようになりました。

その中でもっとも大きな脅威としてランサムウェアが話題になりました。私達のビジネスは多くのパートナー企業様の存在によって支えられており、

ランサムウェアによる被害が基幹システムに及んだ際に支払いが出来なくなるリスクが最も大きな対処すべき課題として経営陣も認識してくれました。

 

”経営陣の素早い決断。ランサムウェア対策導入は２ヶ月で決定”

 

　そこから約2ヶ月という短期間で、ランサムウェア対策に関する投資が判断されました。

経営陣の素早い決断に応えるためにも、製品選択においてもスピーディーな判断ができるようにDX推進室が一丸となり２ヶ月弱で製品決定まで至りました。

 

“ランサムウェア対策でAppCheckを選択された決め手“

 

　ランサムウェア対策への全社的な投資が決裁された後、まずは日頃お付き合いのあるシステム会社様２〜３社に依頼し見積りを取りました。

 

 

“Appcheckの圧倒的なコストパフォーマンスとニーズを満たした自動バックアップ機能と復元機能”

 

　導入にあたっては、DX推進室でも事前に様々な製品の情報をとり下調べを行いました。

全社員への導入ということでコスト面はもちろん、根本的な対策や駆除ができるのか、

対策にあたって日頃のオペレーションへの影響などいくつかの検討項目をもうけて比較検討を行いました。

　複数の製品の中からAppchckを選択するのに時間はかかりませんでした。変化し続ける脅威に対して

根本的に対策を可能とする状況認識技術により毀損されるファイルの変化をリアルタイムで検出、検出用のウイルスパターンファイルを使わずに

ランサムウェアを検出することができるため未知のランサムウェアにも対応することができます。

また、万が一、ランサムウェアにより重要なファイルが暗号化されてしまったとしても、

AppCheckのリアルタイムファイルバックアップ・復元機能で、ファイルを元の状態に戻すことができます。

これら機能面に加えてコスト面においても圧倒的な金額差だったこともありAppcheckを選択しました。

 

“総勢800名弱へのランサムウェア対策において工夫したポイント”

 

　システム的な被害を抑止するためのAppcheckのスピーディな導入と全社員の情報セキュリティに対する意識の向上という２点を軸として対策の準備にかかりました。

 

“Appcheckはわずか３週間でグループ全社員の99%が設定完了”

 

　もともと導入のハードルが低いAppcheckですが、社員の中にはITが苦手という社員もいるため、一人の脱落者も出さない覚悟で様々な工夫をして準備をしました。

 

・ITが苦手という社員に合わせた導入マニュアルやチュートリアル動画を作成

・社内ポータルに掲載を活用して全社員の作業完了状況を可視化

・経営陣からも「できない人がいたら手伝ってあげて」とトップメッセージ発信

 

その結果、３週間以内に99%が完了するスピード導入を実現することができました。

 

“標的型メールからランサムウェアに狙われたケースの短編動画を自社で作成”

 

　さらに、全社員の情報セキュリティに対する意識を向上させるために、

標的型からランサムウェアに狙われたケースの短編動画を作成して全社員に配信するなどランサムウェアの脅威に関して啓蒙活動を始めました。

また、リスク対策委員会を活用して経営層や管理職への啓蒙も行いました。

 

【DX推進室のメンバーが作成した啓蒙動画がこちらになります！】

 

 

“ランサムウェア被害など情報セキュリティ意識は向上。リスク対策委員会でも定番の議題に”

 

“AppCheck導入後の効果とセキュリティ対策の今後の展望”

 

　Appcheckの導入によってシステム的な被害を抑止する環境を整えることができました。

そして、ランサムウェア被害によって会社が負うリスクなど情報セキュリティに対する継続的な啓蒙活動の結果、

経営陣を含めて全社員のセキュリティ対策への意識はかなり向上した実感があります。

現在では、経営層や管理職も参加するリスク対策委員会では定番の議題となっています。

 

“継続的なセキュリティ教育とインシデント対応などより実践的な取り組みへ”

 

　今後もeラーニングなどを活用して全社員への継続的なセキュリティ教育を実施していきます。

また、マネジメント層の理解を深めることも重要であると考えており、新しいマルウェアに関する情報などより

高いレベルのセキュリティ教育コンテンツを提供していきたいと考えています。

また、実際に被害が出た場合のインシデント対応の手順の見直しやテレワークなど新しい働き方に柔軟に対応しながら

利便性と安全性を担保できる環境づくりなどより実践的な情報セキュリティに対する全社的な取り組みを続けています。

 

“取引先はもちろん業界全体のDX推進とセキュリティ意識の向上に寄与したい”

 

私たち、DX推進室メンバーはグループ全体の業務効率や情報セキュリティの観点から業務のデジタル化を推進する立場ですが、

2,000社を超える取引先様も視野に入れたデジタル化や情報セキュリティ意識の向上に寄与するような活動に昇華させていきたいと考えています。

 

 

ご担当の三上様、ご対応頂きありがとうございます！