サイバー攻撃になりうる全ての経路を徹底的に監視
企業防衛の最前線:GSユアサによるAttack Surface(アタックサーフェス)診断サービス導入事例
|
情報システム部 システム活用グループ 青木 拓磨 氏 |
株式会社 GSユアサ 様 所 在 地:京都府京都市南区吉祥院西ノ庄猪之馬場町1番地 設 立:2004年1月1日 事 業 内 容:自動車用電池、産業用電池、電力貯蔵用電池、特殊電池、および燃料電池など、様々な種類の電池および比較的大規模な電源装置の開発、製造、販売を中心に展開し、国内市場において、自動車および二輪車用の鉛蓄電池で首位の市場占有率を誇り、世界全体でも第2位の市場占有率を有している。 |
グローバル市場における電池技術のリーダー「GSユアサ」は、拡大する自社およびグループ会社のIT資産とそれに伴うセキュリティリスクを把握・管理するための取り組みを進めている。クラウド化やテレワーク普及がもたらすAttack Surfaceの増加に対応し、JBCC「Attack Surface診断サービス」を導入。これまで見過ごされていた資産や脆弱性へ効果的な一手を打ち出し、持続可能なセキュリティ体制構築へと舵を切った。
| 導入前の課題 |
|---|
|
| 導入後の効果 |
|---|
|
目次 |
【導入の経緯】攻撃対象領域「Attack Surface」の重要性
GSユアサは、国内外向けの自動車用電池や産業電池電源、車載用リチウムイオン電池、有人潜水調査船や人工衛星、ロケットなど幅広い分野で使用される特殊用途の電池や電源装置の開発・製造・販売を行っている企業だ。
オートバイ用鉛蓄電池や自動車用鉛蓄電池においては、世界トップクラスのシェアを誇る。
国内はもとより海外でも高く評価されており、グローバルでの開発・生産・販売拠点は19カ国37拠点(2023年3月現在)に上る。
企業理念は「革新と成長」。社会に貢献する新しい価値を創出しながら持続的に成長する同社の姿勢は、多くのステークホルダーから支持されている。モビリティ・社会インフラ分野でカーボンニュートラルを実現するための取り組みに貢献し、信頼できるエネルギーを提供し続けることで、さまざまな社会課題の解決に寄与する企業としても知られている。
国内外に多くの拠点を抱える同社は、「Attack Surface」の管理というセキュリティ課題に頭を悩ませていた。Attack Surfaceとは、インターネットなど外部から攻撃される可能性のある領域のこと。サイバーセキュリティのトレンドでも注目され、デジタル庁の「デジタル・ガバメント推進標準ガイドライン」でも重要なセキュリティ対策の考え方として明記されている。
これまでの企業システムはオンプレミスで構築されていたため、攻撃者の主な進入経路はUSB経由、メール経由、Webサイト経由などに限られていた。しかし、クラウドの活用が本格化した上、テレワークの普及により、さまざまな拠点から各種システムにアクセスするようになった結果、システムは複雑化し、外部公開資産も増加している。さらにM&Aや組織再編などもあり、企業側が認識していないAttack Surfaceが増加しているのが現状だ。それらを適切に管理しなければ、セキュリティインシデントを引き起こすリスクが高まる。
「製造業では、サプライチェーンで繋がっている企業からセキュリティインシデントが起きる事例が増えています。当社も大きな課題として意識していますし、自動車メーカーなどの取引先からもサプライチェーンで繋がっている企業のセキュリティ対策の強化を求められています」(情報システム部 情報インフラグループ リーダーの時森 友樹 氏)
これまでの事例をみると、海外拠点や関連会社、子会社など、管理が行き届かないポイントがサイバー攻撃され、システム停止や事業停止という事態に陥ったケースもある。サイバー攻撃が増加、巧妙化している中、外部から攻撃されうる全てのAttack Surfaceを管理した上で、サイバーセキュリティ対策を施す必要があるのだ。
【Attack Surface管理の実践例】JBCCの診断サービスを導入
「海外拠点にどういったIT資産があり、脆弱性があるのかを把握するため、当社ではアンケート調査を実施し、指示や注意喚起を促していました。しかし、実際にどういった対策を施したかまでは確認できません。状況や実態を把握することが困難だったのです」(時森氏)
サプライチェーン全体のセキュリティレベルを統一するためには、まず、グループ企業や協力企業の実態を把握する必要がある。そこで、同社ではセキュリティリスクを可視化するツールの導入を検討し、いくつかのソリューションについてPOCを実施した。
「セキュリティスコアのレイティングを行うソリューションを検証してみたところ、確かにいくつかの資産がリストアップされました。既知の資産はこれで確認できますが、未知の資産があった場合、抜け漏れが生じてしまうことになります。さらに、ツールで取得できたIT資産の脆弱性への対策については、別途調べる必要があります。セキュリティの専任者がいない中、その作業負担は大きいと感じました。頭を抱えていたところ、JBCC『Attack Surface診断サービス』の提案があり、POCを実施後、導入することにしたんです」(情報システム部 システム活用グループの青木 拓磨 氏)
【今後の展望】Attack Surface診断サービス導入による実績と今後の展望
JBCC「Attack Surface診断サービス」とは、クラウドサービスを使ってインターネットから攻撃可能な資産を特定し、その脆弱性を検証してリスクを評価する診断サービス。把握できていない公開資産を発見し、未把握資産のリスクや危険性を診断する。また、お客様担当SEを含むJBCCのセキュリティ専門家がレポートを作成したり、必要なセキュリティ対策を提言したりするサービスだ。
「早速、JBCC『Attack Surface診断サービス』を実施したところ、買収した企業が登録していた認識外のIT資産が見つかったほか、ホスティングなどで公開されているサービスも資産として検出することができました。さらに海外拠点のIT資産についても簡単に把握できたんです。検出できる範囲が広い上、抽出された内容は他のツールと比較しても一線を画していました」(時森氏)
なお、JBCC「Attack Surface診断サービス」では、各種ツールを使ってIT資産を調査するだけでなく、企業情報を踏まえたアナリストによる精査からIT資産を発見することもある。例えばM&Aによって資産が分散している企業の場合、企業の歴史を調査して資産を特定したり、ツールで発見した「不明な資産」に関しては、ヒアリング等を通じて周辺情報を収集し、適切に確認したりするケースもあるのだ。このように、顧客の状況に合わせた調査を行った上で定期的に報告を行う。
「JBCC『Attack Surface診断サービス』のレポートは網羅性が高く、必要な情報が漏れなくアウトプットされています。このレポートを見れば、どのサーバーにどのような脆弱性があるのかまで把握できます。また、ツールの結果だけでは見えてこないシステム環境に即した重要度や優先順位が提言されているため、効果的なセキュリティ対策を施せるようになりました。調査から運用まで含めてフォローしてもらえるので大変助かっています」(青木氏)
このレポートは、グループ会社のIT資産の脆弱性を解消するためにも活用されている。
「グループ会社の中には専任のIT部門がないケースも少なくありません。そういった企業に対して『脆弱性を解消してほしい』と指示をしても、具体的に何をすればいいのか分からないようでした。そこで、レポートを活用しながらわかりやすく指示するようにしています」(青木氏)
ツールを使ってAttack Surfaceを把握することに加え、セキュリティ専門家によるレポートや提言を活用し、Attack Surfaceの管理やセキュリティ対策の実施までをワンストップで実行しているのだ。
この取り組みにより、GSユアサはAttack Surface管理を強化し、隠れた脆弱性に対処しながら全体的なセキュリティポスチャー(姿勢)を向上させた。また、JBCCと協力して、継続的かつ効果的な改善策を実施している。企業が直面する新たな課題やその解決策、そして日々進歩する攻撃手法へ適応する姿勢は、他企業にとっても示唆に富む事例となるだろう。
本日は貴重なお話しをありがとうございました。
事例資料ダウンロード
 |
Attack Surface診断サービスを採用し、IT資産のリスク可視化と最適なセキュリティ運用を実現サイバー攻撃になりうる全ての経路を徹底的に監視 |
お客様にご利用いただいているソリューションの詳しい情報はこちら
|
|
Attack Surface診断サービス「Attack Surface診断サービス」は、サイバー攻撃の侵入経路となり得るインターネット上のIT資産を見つけ出し、サイバー攻撃者の目線から脆弱性の有無や危険性の診断をお客様実環境で調査し、診断結果に基づく最適なセキュリティ対策の提案を定期的に実施するサービスです。 |
