損害保険大手のSOMPO ホールディングスは、グループ各社のデジタルビジネスを推進する一環として、ITインフラやその運用などを「シェアードサービスセンター」(SSC)に集約するとともに、この中でセキュリティを強化すべく脆弱性対策の高度化を推進している。同社にその取り組みを聞いた。
SOMPOホールディングス IT企画部 プロジェクトマネージャの末吉俊博氏
SOMPO ホールディングスでは、グループ各社が手がける損害保険にまつわるさまざまな事業やコンタクトセンターをはじめとする顧客サポートなどにおいて、デジタル技術の活用を推進している。IT企画部 プロジェクトマネージャの末吉俊博氏によれば、SSCの整備は2年ほど前から進めており、「グループ各社がそれぞれに保有、運用するITインフラなどを統合することで効率化を図り、各社のIT人材がコア業務に専念できる体制づくりを行っている」と話す。
金融である同社にとってサイバーセキュリティの強化は必須であり、一般社団法人「金融ISAC」の脆弱性対応ワーキンググループ座長や同「日本暗号資産取引業協会(JVCEA)」のセキュリティ専門委員も務めるIT企画部 セキュリティエバンジェリストの小中俊典氏は、ITインフラをグループで統合していくに当たって、「業界のガイドラインなど多くの要件に対応していかなければならない」と述べる。折しもこの間にはコロナ禍が到来し、テレワークの拡大など従業員の働き方や業務でのITの利用スタイルも変化。そこではリモートアクセスにおけるセキュリティリスクも高まったという。
SOMPOホールディングス IT企画部 セキュリティエバンジェリストの小中俊典氏
このためSSCを整備する過程で、「ゼロトラス」モデルに基づくセキュリティ対策の導入と多層防御の堅牢化を進めている。ネットワーク環境ではパロアルトネットワークスの「Prisma Access」、クライアント環境ではMicrosoftのエンドポイント保護ソリューション、また、不正侵入対策および脆弱性管理と認証基盤の保護ではTenableの「Tenable.io Vulnerability Management」「Tenable.ad」「Tenable Lumin」、アプリケーション開発における脆弱性管理ではContrast Securityの「Contrast ASSESS」「Contrast OSS」などを導入している。
特に、SSCが担うITインフラや認証基盤におけるセキュリティ対策の中核となるのが、導入したTenableのソリューションになるという。
「テレワークではリモートアクセス環境の脆弱性が不正侵入などのセキュリティリスクになるため、脆弱性の検出とリスクベースによる対応、不正侵入の監視と万一侵入された場合に備えた認証基盤の保護、さらには業務で利用するクラウドサービスの設定不備といった問題の発見とその解消にも取り組んでいる」(小中氏)
ソリューションの検討および選定では、まずTenableを含む複数ベンダーの製品とサービスを比較し、Tenableともう1社に絞り込んだ上で、グループ20社のITシステムの本番環境に適用、脆弱性検出のスピードや精度、運用性などを実際に比較した。結果として検出が早く、誤検知や検知漏れが少なかったTenableを選定したという。
小中氏によれば、SSCなどに導入したTenableのソリューションは、各種ネットワーク機器の脆弱性診断や不正侵入の監視、認証基盤であるActive Directory(AD)のセキュリティ検査と保護、クラウドサービスの設定確認(クラウドセキュリティポスチャー管理)と修正などに利用しているとのこと。
※クリックすると拡大画像が見られます
「実際に多くの脆弱性や設定の不備などが見つかり、対応作業の優先順位付けと解決のための作業をまさに進めている。ADに関しては、特権の割り当て状況やアクセス権限の不備などの問題が見つかり、クラウドサービスでは利用者が多い『Amazon S3』の設定不備などが指摘された一方、IDアクセス管理(IAM)などの問題は少ないことが分かった」(小中氏)