Attack Surface Managementを契機に可視化を推進~セキュリティ対策の勘所についてプロフェッショナルに聞いた~
企業にとってセキュリティ対策はますます重要となっている。攻撃者の技術が進化し、ビジネスに対する脅威が増加する中で、セキュリティ対策を最適化することが重要だ。そこでさまざまな企業のセキュリティ対策を支援してきたセキュリティのプロフェッショナル、IT サービス事業・セキュリティサービス事業部の馬上謙に、セキュリティ対策の現状などについて話を聞いた。
ーセキュリティ対策はなぜ企業にとって重要なのでしょうか。
現在、企業におけるサイバーセキュリティの重要性が増しており、これが経営上の主要な課題の一つになっています。この課題がセキュリティ関連のセミナー等で頻繁に取り上げられているのは、攻撃者の手口や技術が進化することで、ビジネスに対する脅威が増加しているためです。大企業はもちろん、サプライチェーンに連なる中小企業にとっても、セキュリティ対策の必要性が高まっています。
具体的なセキュリティ対策としては、脆弱性を持つ部品や装置への攻撃対策、クラウドセキュリティの強化などが挙げられますが、まずは攻撃者の手口を理解し、対策を最適化することが重要です。
近年は、ゼロトラストという新たな手法が注目されていますが、クラウドを含む全体的な対策が重要なことは間違いありません。
JBCCはこれまでインフラ構築を得意としてきましたが、市場ニーズの変化に応じるため、オンプレミスからクラウドへのビジネスに軸足を移しています。
IT資産が限定的な環境からクラウドへ移行することで、従来のセキュリティ対策だけでは不十分になりました。テレワークの普及がシステムへのアクセス経路を複雑化させ、管理を難しくしています。システムの分散化とインフラの大規模な変化に伴い、新たなセキュリティ課題が生じています。
さらに、多数のクラウドシステムと利用部門の増加により、全体把握が難しくなっています。この状況の中でサイバー攻撃の対象となりうるIT資産や攻撃ポイント、攻撃経路などのアタックサーフェスを明確にすることが、セキュリティ対策の第一歩です。これを実現するためには、全てを可視化し、お客様の課題やリスクに対して定期的に対応し報告を行い、共に問題解決を進めることが必要となるでしょう。
出展:経済産業省 ASM導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~
ーセキュリティ対策において、お客様との協力関係は重要なのでしょうか。
お客様との協働は極めて重要となります。お客様のビジネスや問題を理解し、その要素をサービスに反映させることで、適切な提案が可能となるからです。さらに、お客様の状況や問題に応じた最良の対策を練るためには、お客様との密なコミュニケーションが必要だと考えます。
アタックサーフェス診断では、インターネットから攻撃可能な資産を特定し、その脆弱性を検証してリスクを評価します。こういったツールを使ってIT資産を探す方法はありますが、お客様とのコミュニケーションを通じて発見されるIT資産も少なくありません。
例えば、多数のM&Aによって資産が分散している企業では、会社の歴史を調査して資産を特定する必要があります。また、ツールで発見した「不明な資産」に関しては、ヒアリング等を通じて周辺情報を収集し、適切に確認する必要もあります。
JBCC「AttackSurface診断サービス」では、お客様担当SEを含むJBCCのセキュリティ専門家が、お客様の状況に合わせた調査を行い、定期的に報告します。
報告会ではエグゼクティブサマリーや分析レポートなどを提出したり、問題のあるIT資産に直接接続したリアルな出力結果などを報告したりします。
また、リスクに対する対策の手法や優先順位付けなどのご提言を行います。
それにより、お客様の認識外にあるドメインや外部からの侵入の可能性があるサーバーなどが明らかになり、迅速な対応が可能となるのです。
ーお客様によっては、セキュリティ対策に留まらない対応が必要な場合もあると思いますが、JBCCではどのような対応をしているのでしょうか。
JBCCでは、お客様の状況や問題に応じた包括的な可視化サービスを提供しています。セキュリティを契機にアセスメントを行えば、その会社のシステムを全体的に可視化することができます。これにより、セキュリティ以外でも最適な提案が可能となります。
例えば、セキュリティ分野においてEDRが注目を集めていますが、EDRを導入するだけでは問題が解決するわけではありません。設計や構築まで、ネットワークやクラウドと親和性の高い製品を利用いただくことで、包括的な運用のご支援が可能となるのです。
全体を見据えた対策が必要となりますが、JBCCは上流工程から構築・運用に至るまで全てに対応可能です。
お客様の課題を解決していくためには、セキュリティ対策だけでなくITの利活用において、専門的な知識や技能を持つ人材が不可欠です。教育や人材育成は時間とコストがかかりますので、専門チームやパートナー企業と協力するとよいでしょう。企業の規模や業種によっては、特定のガイドラインや規制に準拠しなければならない場合もあります。そのため、お客様のビジネスや問題を理解し、セキュリティ対策を提案できる人材が求められています。
ー最後に、セキュリティ対策についてひとことメッセージを頂けますか。
我々はまずお客様の現状を深く理解し、個々の企業が直面しているリスクや課題を把握し、必要な対策方針と対策ロードマップの提言や、さらにその先の構築から運用までワンストップで実現することができます。これにより、企業のニーズに合わせた対策が可能となります。
JBCCは、お客様がリスクを理解し、適切な対策を講じられるよう、さまざまな支援をしています。これにはコストがかかるかもしれませんが、企業が得る価値は大きいと考えています。セキュリティ対策だけでなく、インフラや資産も考慮に入れ、全体的な視野での対策を提案することが可能です。これは大きなメリットになるでしょう。
私たちの目指すところは、単にセキュリティ対策を提供するだけでなく、お客様がより安全で安心できる環境を実現できるように支援することです。
JBCCグループでは、お客様と共に歩む最良のパートナーを目指しています。
常に新技術を取り入れ、より良い社会の実現に務めています。これを実現するためには、一般的な対応ではなく、お客様の状況や課題に持続的に対応できるパートナーであることが重要です。実際に、クラウドやアプリケーション開発などの分野でも、この視点でサービスを提供しています。
見逃し配信・事例のご案内
【見逃し配信】Ignite 23 Japan JBCCセッション「サプライチェーンを狙った攻撃が多発。その脅威と対策をAttackSurface診断で解決」
本セッションでは、AttackSurface診断を活用しクラウド環境も含めたリスクの可視化や、最近の攻撃パターン、その侵入を如何に防ぐかについてお伝えします。
詳細を見る
【事例】【株式会社 GSユアサ 様】Attack Surface診断サービスを採用し、IT資産のリスク可視化と最適なセキュリティ運用を実現
グローバル市場における電池技術のリーダー「GSユアサ」は、拡大する自社およびグループ会社のIT資産とそれに伴うセキュリティリスクを把握・管理するための取り組みを進めている。クラウド化やテレワーク普及がもたらすAttack Surfaceの増加に対応し、JBCC「Attack Surface診断サービス」を導入。これまで見過ごされていた資産や脆弱性へ効果的な一手を打ち出し、持続可能なセキュリティ体制構築へと舵を切った。
詳細を見るソリューションのご案内
監修者
馬上 謙
JBCC株式会社 サービス事業 セキュリティサービス事業部 リスクアセスメント
〈プロフィール〉
お客様インシデント発生時のログ調査、経営層への報告の実施やSASE、EDR等のゼロトラスト対策サービスの企画、開発の実施を経て、お客様のセキュリティ全体最適化のためのリスクアセスメント、提案の実施を行う
〈有資格〉
CISSP(Certified Information Systems Security Professional)
国際的に最も権威のあるセキュリティプロフェッショナル認証資格
GCDA(GIAC Certified Detection Analyst)
セキュリティイベントを収集、分析して、攻撃者の不正な行動を検出する技術の認定資格
企業のIT活用をトータルサービスで全国各地よりサポートします。
JBCC株式会社は、クラウド・セキュリティ・超高速開発を中心に、システムの設計から構築・運用までを一貫して手掛けるITサービス企業です。DXを最速で実現させ、変革を支援するために、技術と熱い想いで、お客様と共に挑みます。