脆弱性マネジメントサービスの事例紹介
はじめに
本コラムでは、お客様の脆弱性に関するセキュリティの課題解決に焦点を当て、TISが提供する以下の2つの脆弱性マネジメントサービスをご採用頂いた事例をご紹介します。
まず一つ目は「脆弱性診断内製化支援サービス」で、お客様自身で脆弱性診断と脆弱性管理を行えるよう支援するサービスです。
二つ目は「脆弱性運用管理支援サービス」で、こちらはTISが脆弱性診断と脆弱性管理をお客様に代わって運用代行するサービスです。
デジタルトランスフォーメーション(DX)が推進されている現代では、DXと並行してセキュリティ対策も必須となります。
デジタル化が進むことで、管理すべきIT資産やデータが増える一方、それらの適切な管理や対策と、DXに対応する人材の育成や技術の進化も求められます。
上記のサービス具体例を通して、読者の皆様がセキュリティ対策強化へ取り組む際の参考になれば幸いです。
脆弱性診断内製化支援サービスの事例
近年、セキュリティ維持の重要性が認識され、脆弱性対策への強化が求められています。
実際に、情報漏えいやデータの流出をはじめとしたインシデントは世界中で頻繁に起こっています。
悪意のある攻撃者からの攻撃や、システムへの侵入などを防ぐ対策や必要性は周知されつつありますが、インシデントがなくならないのはなぜでしょうか。様々な要因がありますが、多くはシステムのセキュリティ対策、技術者不足や脆弱性診断を外部に依頼する場合のコスト・委託先のリソース確保といった課題が挙げられます。
今回ご紹介する事例は、顧客へ自社開発のシステムを納入するシステム開発・構築業A社様が、納入前の自社開発システムにおける脆弱性診断の内製化へ取り組んだ事例となります。
導入事例:システム開発・構築業A社
導入前の課題
システム開発・構築業A社は、診断を外部に委託する際のコストが高い点や、特に期末などの繫忙期に脆弱性診断の委託先リソースの都合で、診断実施する日程調整に難航するなどの課題がありました。
また、システム開発が遅れた場合の診断日程の再調整で悩まれるケースもあるとのことで、システム構築後のセキュリティ対策チェックにあたる脆弱性診断を自社で行うことを望んでいました。
そのため、専任の要員をアサインして内製で行えるように脆弱性診断のツール選定や検証を行いましたが、診断ツールの設定に手間取ること、脆弱性診断に必要な知識が不足していたために診断結果が正しいかの判断もつかず、診断業務に自信が持てない状況でした。
また、診断業務の立ち上げ・検出した脆弱性に関するサポート体制に不安をお持ちでした。
導入目的
システム開発・構築業A社の目的は、予算や時間の効率性を確保しつつ、正確で適切な脆弱性診断が実施できる体制や、それに紐づく適切なサポート体制を整備することと言えます。
解決手段
上記の課題と目的より、システム開発・構築業A社には、「脆弱性診断内製化支援サービス」をご採用頂きました。
TISの脆弱性診断内製化支援サービスでは、弊社が持つ豊富な脆弱性診断の実績から、お客様のIT環境に適した脆弱性診断ツールをご紹介し、その初期構築および導入をサポートします。
また、脆弱性診断ツールの使い方を教育するハンズオン研修を提供し、検出された脆弱性へのお問い合わせに対応するQAサポートも行います。これにより、お客様自身で自社構築したシステムやIT環境に対する脆弱性診断の実施と、スキルや知識の不足を補うことが可能になります。
これらの弊社支援により、システム開発・構築業A社は自社のシステムやIT環境に対して、外部に委託せずに脆弱性診断を効率的に進めることができるようになり、セキュリティ対策強化も行えました。
また、脆弱性診断の日程調整が容易になった結果、期末などの繁忙期でも脆弱性診断を確実に実施でき、仮にシステム開発の遅れが生じた場合や、脆弱性修正後の脆弱性診断の再調整もスムーズに行うことができるようになりました。
脆弱性管理運用支援サービスの事例
「脆弱性管理運用支援サービス」は、お客様が脆弱性診断ツールを購入し、そのツールを使ってTISが脆弱性診断、脆弱性の管理、そして関連するお問い合わせ対応などの運用業務を代行するサービスです。
このサービスと「脆弱性診断内製化支援サービス」の主な違いは、脆弱性診断ツールの全運用をTISが行う点だと言えます。
具体的には、お客様が脆弱性診断に関する専門的な人材を確保する必要が無く、脆弱性診断ツールの初期設定や導入が完了次第、運用を開始できるというメリットがあります。
今回紹介する事例は、脆弱性診断を内製で行っていたお客様の担当者が退職し、人材確保に困難を感じたため、この「脆弱性管理運用支援サービス」への取り組みに至りました。
導入事例:製造業B社
導入前の課題
お客様が対応すべきセキュリティ範囲が、DX対応に加えて自社のみにならず、関連会社の管理としてサプライチェーンまで広がっておりました。広範囲でのシステムやIT資産の脆弱性対策が求められる中で、診断・運用管理の要員が不足してるという課題を抱えておられました。
また、サプライチェーンを含めた広範囲のシステムやIT資産の脆弱性管理が求められるため、運用負荷も高い状況でした。
導入目的
お客様が目指す目的は、診断や運用管理の人材確保に加え、幅広く求められるシステムやIT資産の脆弱性管理に対応し、それらに伴う運用の負荷を短期間で軽減しつつセキュリティ対策を維持することと言えます。
解決手段
上記の課題と目的から「脆弱性管理運用支援サービス」をご採用頂きました。
「脆弱性管理運用支援サービス」は、脆弱性診断ツールを使用してTISがお客様に代わって全ての運用作業を行うというサービスです。
診断や運用管理の人材が不足しているという課題に対しては、専門的なスキルを持ったTISの技術者が運用を代行します。
これにより、お客様が自身で人材を確保・育成する手間や時間、コストを大幅に削減することが可能です。
広範囲にわたるIT資産の脆弱性を管理するという課題に対しては、TISがその全領域への診断を実施します。
また、診断結果に基づいた脆弱性管理や関連するお問い合わせにも対応いたします。
これにより、お客様が抱えていた運用負荷も大幅に軽減することができます。
今回のケースでは、すでにお客様は脆弱性診断ツールを導入されていましたが、広範囲の診断対象の洗い出しが不十分であったため、診断対象とすべきシステムやIT資産の調査から行いました。
また、年間の脆弱性診断の計画の見直しや、診断により検出された脆弱性への対応ルールや期限などの方針決めを含めた運用の再設計を行い、TISによる運用代行へ切り替えをいたしました。
これらの対応により、お客様の広範囲に及ぶシステムおよびIT資産に対する脆弱性の確認と対策が可能となりました。
また、TISによる運用代行によりお客様の運用負荷軽減し、お客様の担当者は本業に以前よりも集中できるようになりました。
最後に
「脆弱性診断内製化支援サービス」では、TISが採用している診断ツールや運用方法の導入により、時間や外部委託先の都合に縛られずに自社で脆弱性診断を実行することが可能になります。
この過程で、診断員の育成や脆弱性診断のノウハウの蓄積も図ることができます。
また、「脆弱性管理運用支援サービス」は、TISが脆弱性診断の調整から始まり、その診断から見つかった脆弱性の管理およびお問い合わせ対応までワンストップで運用代行するサービスです。
セキュリティの専門家によって行われる脆弱性診断の結果を、わかりやすいレポート形式で提供します。
これにより、システムのセキュリティ状況の把握と、最優先で対処すべき脆弱性の対応が可能になります。
今回ご紹介した脆弱性マネジメントサービスは、「脆弱性診断内製化支援サービス」および「脆弱性管理運用支援サービス」の2つを主軸とし、どちらのサービスでも継続して脆弱性診断を行う仕組みを提供します。
これにより、セキュリティ対策を効率的に強化することが可能となります。
近年、金銭目的のサイバー攻撃が増え、新たな脆弱性も日々発見されています。
このため、脆弱性診断によるセキュリティ対策状況の可視化について多くのご相談を頂いています。
システムの設定不備やセキュリティパッチ未適用などによる脆弱なセキュリティが原因でインシデントが発生すれば、ステークホルダーへの説明責任を果たすことは難しくなります。
脆弱性マネジメントサービスは、セキュリティインシデントの予防にも効果を発揮するため、こういった課題に対する解決策を提供することが可能になります。
本コラムがお客様のセキュリティ維持、さらには強化に一役買えれば幸いです。