これまで使ってきて、運用上の問題は何もありません。今後の課題は、昨今のセキュリティ状況に合わせて、登録ソフトや脆弱性の深刻度設定の見直しなどが必要と考えています。オプテージさんへの希望としては、登録ソフトのサポートライフサイクル情報チェックや、可能ならソフトのライセンス管理までをコンソール画面で一元的にできれば利便性が一気に高まります。またセキュリティの専門企業と連携して、脆弱性判断の結果を例えば「現状なら2級です」などと評価してもらえると、経営層へのアピールにもなると思いました。
エスペック株式会社 様
脆弱性を常時、自動的にチェック。
システムをサイバー攻撃から守る『セキュリティ脆弱性検査aaS』
- 課題
- 業務効率化、セキュリティ対策強化
- 業種
- 製造
- 従業員規模
- 1,001名以上
- 導入サービス
- セキュリティ脆弱性検査aaS
企業に対するサイバー攻撃は増加の一途をたどり、しかも攻撃は巧妙かつ高度になっている。環境試験器に関して日本でトップシェア、世界でも高水準のシェアを持つエスペックも、自社システムの脆弱性に関して一抹の不安を感じていた。そこで『セキュリティ脆弱性検査aaS』を導入し、自社で使用するソフトの脆弱性チェックを完全に自動化。サイバー攻撃を未然に防ぐ体制を構築している。
- 課題
-
- 急増している企業に対するサイバー攻撃への対応
- システム導入と運用に関して可能な限り新たな負荷が増えないこと
- セキュリティ専従スタッフでなくても扱える簡易なシステム
- 導入後の効果
-
- 自動送付されるアラートメールのチェックで基本的な対処が可能
- トラブル発生を未然に防ぐ体制の確立
- 顧客に対して自社のセキュリティレベルをアピール
サービス導入レポート
危機感はある、けれどもどう対処すれば…?
「システム脆弱性について危機感はありましたが、差し迫ったものではありませんでした」と、情報システム推進グループの山田泰斗主事補は打ち明けた。エスペックはBtoB企業であるため基本的に個人情報を扱うことはない。だからそれほど神経質にはなっていなかったのだ。ただメールなどによる攻撃は頻繁にあり、対抗策としてサーバやパソコンにはセキュリティソフトを導入し、ベンダーからの情報提供やニュースなども踏まえて適宜対応していた。
「情報セキュリティ委員会は年に1回開催し、セキュリティソフトのログも毎月チェックしています。ただし当社のシステムが“万全か”と問われると、正直なところわからない状態であり、不安感は常に感じていました」と語る山田氏は、サイバー攻撃を受けた国内企業のニュースを見るたび、いつか自社も被害対象となるのではないか、との懸念を拭えなかったという。
企業に対するサイバー攻撃は増加の一途をたどり、攻撃内容は巧妙かつ高度になっている
導入の条件は、追加業務が発生しないこと
個人情報を持たないとはいえ、外部漏えいの許されない機密情報や技術情報は当然ある。同グループ マネージャーの山室哲也氏は「何とかして問題が発生する前の段階で、危険を察知して対策を打てるような体制が必要」と常々考えていた。ちょうどそのタイミングで提案されたのが、オプテージ(旧関電システムソリューションズ)が社内用として開発したセキュリティ脆弱性管理支援システム『検査aaS』のトライアル導入だった。「SaaSとして提供してもらえるなら、すぐに使ってみたいと山室様からリクエストを受けて試行環境を整備し、トライアルが始まりました」と、オプテージソリューション事業推進本部の長尾聡は経緯を振り返る。
「当社にはセキュリティ専従のスタッフはいません。従って現場としては新たなシステム導入により、従来業務に新たな負荷のかかる状態は避けたい。その点、『検査aaS』は使用ソフトを登録すれば、後は問題が予想される段階で届くアラートメールを待っているだけでいい。こちらから何かアクションを起こす必要のない点が、何よりありがたかった」と、導入の決定要因として効果と負荷のバランスの良さを山田氏は指摘する。
導入はスムーズ、事前準備は一切不要
『検査aaS』は、導入に際しての環境構築などはまったく不要。操作方法の説明を受けて、検査対象とするソフトを検討・登録するだけで導入作業は完了する。登録されたソフトについては、脆弱性情報サイト「JVN」と「JPCERT/CC」の情報に基づき、問題が見つかれば直ちにアラートメールが送られてくる 。アラートが届けばコンソールで直ちに現状を把握できる。
「まず深刻なトラブルが発生していない現状と、自社システムに致命的な脆弱性のないことを確認できて、一安心しました。『検査aaS』では脆弱性に関するチェックの厳格さを、自社のセキュリティポリシーに応じて加減できます。このようにチェックレベルを柔軟に変更できる点も大きなメリットと感じています。近年は取引先からセキュリティ対策に関するアンケート調査が行われることもありますが、『検査aaS』の導入により、当社のセキュリティ意識の高さをアピールできています」と、山室氏は導入の成果を語る。
写真左から、エスペック株式会社の山室哲也氏、山田泰斗氏と打ち合わせをする長尾聡、山根裕貴
地味ながら企業の屋台骨を支える仕組み
テスト導入から約3年が経過したが、今のところ深刻な脆弱性は見つかっていない。これまでを振り返って山田氏は「そもそも何も問題がない状態が当たり前で、『検査aaS』は当社の対応に問題がない現状を確認するためのツールとして非常に使い勝手がいい」と語る。
セキュリティ対策においては、問題など何も発生しないのが当たり前とされる。とはいえ経営面では常に費用対効果が厳しく問われる。
「その点でも、これまでのところ重大事故は発生しておらず、これこそが『検査aaS』の評価だと受け止めています。トラブル発生を防ぐ意味では、大切な転ばぬ先の杖です。企業の屋台骨の一つであるセキュリティを確保する上で、極めて有効なツールと認識しています」と、山室氏はまとめてくれた。
お客さまプロフィール
- エスペック株式会社 様
- 大阪市北区天神橋3-5-6
- TEL.06-6358-4752
- https://www.espec.co.jp/
1947年、田葉井製作所として創業され、1986年には東証一部および大証一部に指定、2002年にエスペック株式会社に社名を変更。電子機器や工業製品に対して、環境因子が及ぼす影響を分析・評価する環境試験器の世界トップ企業である。世界50カ国を網羅し、環境試験に関するトータルソリューションを提供。経済産業省2020年版「グローバルニッチトップ企業100選」に選定され、環境試験器やエナジーデバイス装置、半導体関連装置を提供する装置事業のほか、サービス事業と環境保全などに関わる事業なども展開している。
- お客さまの声
-
より使いやすい進化を期待します
コーポレート統括本部
総務人事部
情報システム推進グループ
主事補
山田 泰斗氏
サービス名、会社名等は、各社の商標または登録商標です。
掲載内容は2021年6月時点のものです。
同じサービスの導入事例
同じ業種の導入事例
お問い合わせ
何かご質問等がございましたら、お気軽にお問い合わせください。
-
お電話でのお問い合わせ
受付時間:9:00~17:00
(土日・祝日・12/29~1/3、5/1除く) -
フォームでのお問い合わせ
