ASM導入企業3社の事例から学ぶ、外部公開資産のセキュリティ対策のポイントとは?
-
│
3行でわかる本記事のサマリ
- 日立建機株式会社:海外拠点のIT資産把握とセキュリティ強化にMacnica ASMを導入し、グループ全体のセキュリティを強化
- アイカ工業株式会社:ASMとレイティングソリューションを同時導入し、効果的なセキュリティ運用を実現
- セガサミーホールディングス株式会社:ノイズの少ないMacnica ASMで未把握資産を検出し、セキュリティ対策を多角的に考慮したシステムの構築を目指す
目次
- 事例1.海外グループ会社のIT資産をASMで把握し、製造業のセキュリティを強化(日立建機株式会社様)
- 事例2.ASMとレイティングソリューションの同時導入で、効果的なセキュリティ運用を実現(アイカ工業株式会社様)
- 事例3.ノイズの少ない Macnica ASMを活用し、未把握資産の検出や膨大な資産管理に成功(セガサミーホールディングス株式会社様)
ASM(Attack Surface Management)の導入を検討している方に向けて、3社の事例を紹介します。外部公開資産を狙うサイバー攻撃への対策として、ASMにはどのような効果があるのでしょうか。セキュリティ強化のポイントを探ります。
はじめに
近年、公開サーバなどの外部公開資産を狙うサイバー攻撃が多発し、ASM(Attack Surface Management)がその対抗策として注目されています。ASMとは、攻撃者の標的となりうる「Attack Surface(攻撃対象面)」を正確に把握し、継続的に対処する取り組みのことです。導入を検討するにあたり、「実際にどのような効果があるのか知りたい」「他社ではどのような取り組みがあるか知りたい」と考えている方も多いのではないでしょうか。
ここでは、ASMを実践する3社の事例を紹介します。導入までの経緯、実感している効果、運用成功のポイントなどを探りましょう。
参考:Macnica Attack Surface Management
https://www.macnica.co.jp/business/security/manufacturers/mpressioncss/asm.html
事例1.海外グループ会社のIT資産をASMで把握し、製造業のセキュリティを強化
(日立建機株式会社様)
はじめに紹介するのは、建設機械や運搬機械の製造・販売・レンタルを行う、日立建機株式会社様の事例です。同社は、ASMで海外拠点のIT資産を把握し、セキュリティ強化を実現しました。
ASM導入の背景
製造業へのサイバー攻撃が続く中、日立グループが攻撃者からどのように見られているのか、不安があったという同社。特に、海外のグループ会社が保有するIT資産の把握に課題があり、能動的なセキュリティ対策の必要性を感じていました。懸念事項の1つは、東京2020オリンピック・パラリンピックの時期に話題となった、VPN機器の脆弱性です。当時、海外グループ会社のIT資産の保有状況は、現地からの報告でしか確認することができませんでした。
Macnica ASMを選定した理由
マクニカ主催のオンラインカンファレンス「Macnica Security Forum」に参加したことが、Macnica ASMを認知する契機に。サービス紹介だけでなく、セキュリティに有用な情報が共有されていたことから、専門的な知見が豊富な担当者による、質の高いASMを期待しての導入でした。
リスク対処とその工夫
リスクの優先度や資本関係などを考慮し、影響度の高いリスクから対処を実施。グループ全体として情報セキュリティ体制を整備し、チャットやメール、Web会議などで、担当者とのコミュニケーションを図っています。
Macnica ASMでは、リスクの優先度を「Critical」「High」「Medium」「Low」の4段階に分類して報告します。同社はASMを導入して約1年で、優先度「Critical」、「High」「Medium」のリスクは、ほぼ対応完了。残る「Low」のリスクは、内容によって優先するべきものを判断しながら対応を進めています。
導入効果と今後の展開
同社では、Macnica ASMについて、脆弱性情報とIT資産の突き合わせが速く、鮮度が良いことを評価しています。また、想定よりも幅広く調査が行われ、資本関係の薄い会社も含めてグループ内の脆弱性が検出されました。
同社のCSIRTメンバーの数は、グループ会社の数に対して、決して多いとはいえません。しかし、その穴を埋めるのに十分な効果をASMに感じています。今後はASMの結果を足がかりに弱点を是正し、グループ全体のセキュリティをさらに強化する考えです。
事例2.ASMとレイティングソリューションの同時導入で、効果的なセキュリティ運用を実現(アイカ工業株式会社様)
次に紹介するのは、化成品や建装建材の製造・販売を手がけるアイカ工業株式会社様。ASMと同時に、セキュリティ成熟度を数値化できるレイティングソリューションを導入した事例です。
ASM導入の背景
2017年にホームページにサイバー攻撃を受けた後、さまざまなセキュリティ施策を実施してきた同社。3年目に入り、それまでの取り組みが十分だったのか、不足や重複はなかったのか、答え合わせをしたいと考えたことが、ASM導入のきっかけでした。
Macnica ASMを選定した理由
当初はセキュリティ成熟度を可視化できるレイティングソリューション(SecurityScorecard)のみの導入を検討していましたが、資産の網羅的な把握と新たなリスク発見のため、Macnica ASMも併せて導入しました。契約前の事前調査で多くの脆弱性が発覚し、早急に対応する必要性を感じていました。
またマクニカは国内でも早くからMacnica ASMの提供を開始しており、同社がASM導入を検討していた当時は、同様のサービスが他にありませんでした。
リスク対処とその工夫
洗い出されたリスクのうち、優先度「Critical」と診断されたものを最優先で対処。その後は、レイティングソリューションの結果と突き合わせて、拠点ごとに対応を進めています。はじめに危険なポートを閉鎖し、その後、古いOSやミドルウェアのバージョンアップなどを実施。すでに「Critical」および「High」のリスクについては、一部を除いて対処が完了しています。
国内外のグループ会社とは、Web会議や現地訪問を通じて、連携を強化しています。
導入効果と今後の展開
従来はパッチワーク的な脆弱性対応でしたが、ASMはリスクが体系的に整理されており、新たな脆弱性の検知に役立っています。また、レイティングソリューションの結果をグループ会社に公開し、危機感の共有やモチベーション向上につなげている点も、同社の取り組みの特徴です。
ASMとレイティングソリューションの併用により、効果的なセキュリティ運用を実現した同社。今後は、グループ各社が自発的にセキュリティ向上に取り組むためのツールとしても、ASMを活用したいと考えています。
事例3.ノイズの少ない Macnica ASMを活用し、未把握資産の検出や膨大な資産管理に成功(セガサミーホールディングス株式会社様)
続いて紹介するのは、エンタテインメントコンテンツ事業、遊技機事業、ゲーミング事業を幅広く展開するセガサミーホールディングス株式会社様。膨大なIT資産の管理が課題となる中、ノイズの少ないMacnica ASMを活用し、未把握資産の検出に成功した事例です。
ASM導入の背景
国内外に多くのグループ会社があり、1,000以上のサービスドメインを保有する同社。管理すべきドメインやサーバが日々増加する中で、IT資産の把握と管理が不十分になっている認識があり、2019年ごろからASMを実施する機会を探していました。
新規のコンテンツは脆弱性診断を行うタイミングがあるものの、稼働中のコンテンツや長期間放置されている休眠コンテンツについては、脆弱性診断の工数を確保することが困難でした。
Macnica ASMを選定した理由
以前他社のASMソリューションを利用した際には、事前の取りまとめやグループ会社との調整に手間がかかったうえ、検出結果には自社グループの資産でないものが多く含まれていました。その点Macnica ASMはセキュリティ研究センターの知見を活かしノイズを排除しているため、的確な資産の洗い出しが期待できることが選定の決め手となりました。
リスク対処とその工夫
優先度「Critical」のリスクは検出されなかったため、「High」を優先的に対処。「Medium」以上のリスクは基本的に対応する方針です。マクニカが報告したリスクを、本社側でグループ各社に振り分けてから、各社の対応窓口にリストとして提供。必要に応じて、脆弱性情報と対処方法についてのレクチャーをオンラインで実施しています。
導入効果と今後の展開
Macnica ASMでは、煩雑な事前準備が不要だったにもかかわらず、未把握の資産も検出できるなど、精度の高い情報が提供されました。
IT資産の把握に課題があった同社ですが、ASMには一定の効果を実感しています。今後も継続してASMを実施することで、セキュリティ対策を多角的に考慮したシステムの構築を目指しています。
まとめ
今回ご紹介した3社の事例からもわかるように、ASMは、外部公開資産のセキュリティ強化に大きな効果を発揮します。Macnica ASMは、豊富な知見を持つセキュリティのエキスパートがお客様の資産を網羅的に調査し、高品質なレポートを提供することが特長です。
さらに詳しい情報を知りたい方に向けて資料を無料で提供しています。Macnica ASMの概要から、他企業の導入事例まで、ASMの検討に役立つ情報が満載です。
今すぐ、下記のリンクからダウンロードしてください。
