MS&AD、セキュリティリスク低減にアタックサーフェス管理を提言–イオンペットの事例も

今回は「MS&AD、セキュリティリスク低減にアタックサーフェス管理を提言–イオンペットの事例も」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 MS&ADインターリスク総研は6月17日、企業のセキュリティリスク低減に向けた取り組み関する説明会を開き、アタックサーフェス管理(ASM)の活用を訴求した。説明会では、ASMを導入したイオンペットも効果などを説明した。

 MS&ADインターリスク総研は、損害保険の「補償前後のあらゆるリスクに対するサポート」を事業の基軸とし、5月2日にASMを用いて自社や取引先のIT資産のリスクを診断する「MS&ADサイバーリスクファインダー取引先診断サービス」を発表。同サービスは、三井住友海上火災保険が3月から、あいおいニッセイ同和損保が5月から提供している。

 冒頭で三井住友海上火災保険 ビジネスデザイン部の宮井公太郎氏は、損害保険会社が万一の際に保障を提供するだけでなく、長年にわたり蓄積した事故の内容と対策の知見を顧客に提供する価値と位置付け、MS&ADグループでは、サイバーセキュリティ領域に最も注力していると背景を説明した。

 MS&ADサイバーリスクファインダー取引先診断サービスでは、MS&ADインターリスク総研が提携する米サイバー保険会社のCoalitionが開発したASMツールを用い、数十~数百社の関係企業や取引先の外部に公開されているIT資産のセキュリティリスクを診断する。対象先に対して月次や四半期ごとなどの頻度で診断とレポート化ができ、緊急度の高い脆弱(ぜいじゃく)性が検知された場合は、優先的に対処すべきリスクとしてアラートや対処策などを提示する。対処後の迅速な再診断なども行えるという。

 同サービスの提供目的についてMS&ADインターリスク総研 デジタルイノベーション本部 スペシャリスト・セキュリティ事業責任者の杉田司氏は、企業でサプライチェーンセキュリティリスクへの対応が喫緊のテーマである一方、従来のペネトレーションテストなどによるリスク診断は高額で、高頻度かつ大規模な対象への実施が難しいこと、サイバーセキュリティに関する高度な専門性が要求されることが課題にあると指摘した。

 また、関係会社や取引などへのセキュリティ監査では、書類などのチェックシートに回答を記入する方法が一般的だが、杉田氏は、監査元や監査先の双方にとって作業負荷が高いことや、セキュリティ対策状況の詳細な確認や是正指導、対処策の実施が難しいといった実情も指摘した。

 こうしたことからサイバー保険を扱う損害保険企業グループの特徴を生かして、MS&ADサイバーリスクファインダー取引先診断サービスをセキュリティインシデントの予防につなげるサービスに位置付け、万一の有事における保険と合せて、企業顧客のセキュリティリスク管理を支援するという。杉田氏は、今後インシデント後の復旧支援といったサービスも検討していくと説明した。

 説明会には、MS&ADサイバーリスクファインダーを自社のIT資産の診断に導入したというイオンペット 執行役員 情報システム本部長の平井丈裕氏と、ゲストとしてベライゾンジャパンでセキュリティソリューションの責任者を務める森マーク氏も登壇した。

 イオンペットの平井氏は、非常に多岐にわたる情報システム部門の業務の中で、セキュリティ診断を自社だけでなく社外の関係先に対しても適切に実施し続けることは、さまざまな負担が大きいと説明した。同社は、年次のセキュリティ予算を確保して各種のセキュリティ施策を実施しており、サイバー保険も活用しているという。

 こうした中でMS&ADインターリスク総研が提供するASMを自社のECサイトサービスに適用したところ、従来の社内視点だけなく社外から見た場合の自社IT資産のセキュリティ状態を把握できるようになったことや、診断を容易に実施しやすくなったこと、診断対象のドメイン数が少なければペネトレーションテストなどに比べてとても安価であることといったメリットを実感したという。平井氏は、ASMを活用してセキュリティ予算を有効的に利用できるようになり、セキュリティ教育の拡充などに生かしたいと語った。

 ベライゾンジャパンの森氏は、米Verizonが毎年刊行しているデータ漏えいや侵害の調査報告書「Data Breach Investigations Report」(DBIR)の最新版を引用し、インシデントの要因において脆弱性の悪用が前年から2.8倍に増加していると指摘した。

 要因別では、認証情報の窃取・悪用やフィッシングが多いものの、脆弱性の悪用では特に既知の脆弱性を狙ったケースが増加し、「ここまで脆弱性の悪用が増えるとは想定してなかった」(森氏)という。

 同報告書では、既知の脆弱性のうち情報公開から55日以内に修正対応されるものは50%未満であるなどの実態も指摘。森氏は脆弱性管理が極めて大事だと説いた。

元記事: https://japan.zdnet.com/article/35220243/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
若者向けのワクチン情報動画、YouTubeで1億回以上再生 「人気YouTuberの協力が重要」──同社CEOと河野大臣が対談
企業・業界動向
2021-08-13 19:16
東大松尾研究室発スタートアップの検品AIシステム、東京都のDX推進支援事業に採択
IT関連
2023-08-23 13:53
攻撃的にならずに、攻撃的という印象を与えずに–ビデオ会議で意見を上手に話す
IT関連
2021-01-17 14:24
コンテンツを標的にした脅威が増加–「Box」の情報セキュリティ対策
IT関連
2024-03-14 19:42
つくば市、新型コロナワクチンの配送システム推進–106の医療機関全てに導入
IT関連
2022-10-29 16:25
豚の個体数や体重・健康状態を把握できる養豚農家向けAIカメラシステム「PIGI」がベータ版公開
フードテック
2021-06-17 22:48
[速報]AWS上で開発環境一式、フレームワーク、初期コード、IDE、ビルド環境、CI/CDなど提供する「Amazon CodeCatalyst」発表。AWS re:Invent 2022
AWS
2022-12-02 06:01
ネットワンシステムズ、「Celonis EMS」導入–業務プロセスを可視化し改善効果を測定
IT関連
2023-01-20 01:01
運送管理SaaS「アセンド・ロジ」開発・運営のascendが5500万円のシードラウンド調達
ネットサービス
2021-03-12 13:51
GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能
GitHub
2023-04-10 01:32
スマホでペット保険金を請求できる「アニポス」が約1.1億円を調達、開発運営体制を強化
フィンテック
2021-06-10 17:29
人工知能が開くDevOpsの新たな可能性–開発者の役割はどう変わる?
IT関連
2023-02-22 08:14
IFSジャパン、ビジネス拡大に向け国内の事業戦略
IT関連
2023-04-15 15:11
Webテスト主流の就活・筆記試験 必要なのは情報収集
IT関連
2021-08-14 19:04