化学メーカーのアイカ工業(名古屋市)は、サイバーセキュリティ脅威に対する資産のリスクなどを把握するために、米Security Ratingsの「Security Ratings」サービスやマクニカの「Attack Surface Managementサービス」による定量的な評価手法を活用した。マクニカが発表した。
アイカ工業は、建築材料や接着剤などで世界的なシェアを持ち、海外売り上げの比率が高い。同社のセキュリティ対策は、これまで多層防御への転換を図りつつ、次世代マルウェア対策がエンドポイント型の脅威検知および対応(EDR)の導入、さらには標的型メール攻撃訓練やセキュリティのeラーニング、全グループの担当者による情報共有など広範な取り組みを実施しているという。
マクニカによれば、アイカ工業では、海外のグループ会社におけるガバナンスを強化するために、半年に一度セキュリティの取り組みについてアンケートを実施してきた。だが、状況を正確に反映した回答なのかを本社側で把握できていない可能性が問題点として懸念されていたという。そこで、特にインターネットなどの外部に公開されている資産の状態を把握し、セキュリティ対策の優先度を検討するため、対応状況の数値化する方法としてSecurity RatingsとAttack Surface Managementサービスを導入した。
Security Ratingsサービスは、グループ会社や取引先などの組織を対象として、定常的にセキュリティリスクの可視化と定量化を行う。アイカ工業の国内外のグループ企業全てを対象に評価ができることや、10以上の言語に対応したレポートを得られることが採用理由だという。さらに、グループ会社のウェブサイトの管轄がマーケティング部門であるケースが多く、情報システム部門側が正確に状態を把握できていない課題もあったといい、Attack Surface Managementサービスを併用することになったとのことだ。
資産のセキュリティ状態を定量的に評価するイメージ(出典:マクニカ)
これらの手法を活用してアイカ工業は、グループ各社のセキュリティ対策状況を客観的に可視化・定量化して、企業別の状況を一覧で把握できるようになった。可視化されたリスク状況への対応を海外のグループ会社に依頼する際には、Security Ratingsによる評価点数を指標にすることで、改善後の状態を点数で評価できるようにした。定量的な評価にしたことで、経営層が分かりやすい報告も可能になったとしている。
また、情報システム部門はAttack Surface Managementサービスを利用して、これまで把握し切れていなかった資産の状態を網羅的に把握できるようになり、新たなリスクも把握できるようになったという。これらに基づいて、優先的に対応すべき脆弱(ぜいじゃく)性やリスクが明確になった。グループ企業へ脆弱性対応を依頼するなどの機会が増えたことで、セキュリティ対策以外の取り組みも含めた会社間のコミュニケーションも活性化しているという。
今後アイカ工業は、グループのセキュリティ対策に取り組む「アイカグループCSIRT」としての活動でさらなるセキュリティレベルの向上を目指す。まず、Attack Surface Managementサービスによる継続的なモニタリングを通じ、資産の日々の変化やセキュリティ問題についてマクニカからの即時アラートをトリガーに対処を行い、インシデントの予防に取り組む。Security Ratingsでは、より広範な問題項目を設定しているといい、セキュリティ体制の評価や取り組みの効果測定などに役立てる。2つのサービスを効果的に利用していくとしている。