SOMPOグループに聞く、セキュリティ脆弱性管理高度化の取り組み

國谷武史 (編集部)

2022-05-11 11:00

 損害保険大手のSOMPO ホールディングスは、グループ各社のデジタルビジネスを推進する一環として、ITインフラやその運用などを「シェアードサービスセンター」(SSC)に集約するとともに、この中でセキュリティを強化すべく脆弱性対策の高度化を推進している。同社にその取り組みを聞いた。

SOMPOホールディングス IT企画部 プロジェクトマネージャの末吉俊博氏
SOMPOホールディングス IT企画部 プロジェクトマネージャの末吉俊博氏

 SOMPO ホールディングスでは、グループ各社が手がける損害保険にまつわるさまざまな事業やコンタクトセンターをはじめとする顧客サポートなどにおいて、デジタル技術の活用を推進している。IT企画部 プロジェクトマネージャの末吉俊博氏によれば、SSCの整備は2年ほど前から進めており、「グループ各社がそれぞれに保有、運用するITインフラなどを統合することで効率化を図り、各社のIT人材がコア業務に専念できる体制づくりを行っている」と話す。

 金融である同社にとってサイバーセキュリティの強化は必須であり、一般社団法人「金融ISAC」の脆弱性対応ワーキンググループ座長や同「日本暗号資産取引業協会(JVCEA)」のセキュリティ専門委員も務めるIT企画部 セキュリティエバンジェリストの小中俊典氏は、ITインフラをグループで統合していくに当たって、「業界のガイドラインなど多くの要件に対応していかなければならない」と述べる。折しもこの間にはコロナ禍が到来し、テレワークの拡大など従業員の働き方や業務でのITの利用スタイルも変化。そこではリモートアクセスにおけるセキュリティリスクも高まったという。

SOMPOホールディングス IT企画部 セキュリティエバンジェリストの小中俊典氏
SOMPOホールディングス IT企画部 セキュリティエバンジェリストの小中俊典氏

 このためSSCを整備する過程で、「ゼロトラス」モデルに基づくセキュリティ対策の導入と多層防御の堅牢化を進めている。ネットワーク環境ではパロアルトネットワークスの「Prisma Access」、クライアント環境ではMicrosoftのエンドポイント保護ソリューション、また、不正侵入対策および脆弱性管理と認証基盤の保護ではTenableの「Tenable.io Vulnerability Management」「Tenable.ad」「Tenable Lumin」、アプリケーション開発における脆弱性管理ではContrast Securityの「Contrast ASSESS」「Contrast OSS」などを導入している。

 特に、SSCが担うITインフラや認証基盤におけるセキュリティ対策の中核となるのが、導入したTenableのソリューションになるという。

 「テレワークではリモートアクセス環境の脆弱性が不正侵入などのセキュリティリスクになるため、脆弱性の検出とリスクベースによる対応、不正侵入の監視と万一侵入された場合に備えた認証基盤の保護、さらには業務で利用するクラウドサービスの設定不備といった問題の発見とその解消にも取り組んでいる」(小中氏)

 ソリューションの検討および選定では、まずTenableを含む複数ベンダーの製品とサービスを比較し、Tenableともう1社に絞り込んだ上で、グループ20社のITシステムの本番環境に適用、脆弱性検出のスピードや精度、運用性などを実際に比較した。結果として検出が早く、誤検知や検知漏れが少なかったTenableを選定したという。

 小中氏によれば、SSCなどに導入したTenableのソリューションは、各種ネットワーク機器の脆弱性診断や不正侵入の監視、認証基盤であるActive Directory(AD)のセキュリティ検査と保護、クラウドサービスの設定確認(クラウドセキュリティポスチャー管理)と修正などに利用しているとのこと。

 「実際に多くの脆弱性や設定の不備などが見つかり、対応作業の優先順位付けと解決のための作業をまさに進めている。ADに関しては、特権の割り当て状況やアクセス権限の不備などの問題が見つかり、クラウドサービスでは利用者が多い『Amazon S3』の設定不備などが指摘された一方、IDアクセス管理(IAM)などの問題は少ないことが分かった」(小中氏)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  2. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  3. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]