MS&AD、セキュリティリスク低減にアタックサーフェス管理を提言–イオンペットの事例も

今回は「MS&AD、セキュリティリスク低減にアタックサーフェス管理を提言–イオンペットの事例も」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 MS&ADインターリスク総研は6月17日、企業のセキュリティリスク低減に向けた取り組み関する説明会を開き、アタックサーフェス管理(ASM)の活用を訴求した。説明会では、ASMを導入したイオンペットも効果などを説明した。

 MS&ADインターリスク総研は、損害保険の「補償前後のあらゆるリスクに対するサポート」を事業の基軸とし、5月2日にASMを用いて自社や取引先のIT資産のリスクを診断する「MS&ADサイバーリスクファインダー取引先診断サービス」を発表。同サービスは、三井住友海上火災保険が3月から、あいおいニッセイ同和損保が5月から提供している。

 冒頭で三井住友海上火災保険 ビジネスデザイン部の宮井公太郎氏は、損害保険会社が万一の際に保障を提供するだけでなく、長年にわたり蓄積した事故の内容と対策の知見を顧客に提供する価値と位置付け、MS&ADグループでは、サイバーセキュリティ領域に最も注力していると背景を説明した。

 MS&ADサイバーリスクファインダー取引先診断サービスでは、MS&ADインターリスク総研が提携する米サイバー保険会社のCoalitionが開発したASMツールを用い、数十~数百社の関係企業や取引先の外部に公開されているIT資産のセキュリティリスクを診断する。対象先に対して月次や四半期ごとなどの頻度で診断とレポート化ができ、緊急度の高い脆弱(ぜいじゃく)性が検知された場合は、優先的に対処すべきリスクとしてアラートや対処策などを提示する。対処後の迅速な再診断なども行えるという。

 同サービスの提供目的についてMS&ADインターリスク総研 デジタルイノベーション本部 スペシャリスト・セキュリティ事業責任者の杉田司氏は、企業でサプライチェーンセキュリティリスクへの対応が喫緊のテーマである一方、従来のペネトレーションテストなどによるリスク診断は高額で、高頻度かつ大規模な対象への実施が難しいこと、サイバーセキュリティに関する高度な専門性が要求されることが課題にあると指摘した。

 また、関係会社や取引などへのセキュリティ監査では、書類などのチェックシートに回答を記入する方法が一般的だが、杉田氏は、監査元や監査先の双方にとって作業負荷が高いことや、セキュリティ対策状況の詳細な確認や是正指導、対処策の実施が難しいといった実情も指摘した。

 こうしたことからサイバー保険を扱う損害保険企業グループの特徴を生かして、MS&ADサイバーリスクファインダー取引先診断サービスをセキュリティインシデントの予防につなげるサービスに位置付け、万一の有事における保険と合せて、企業顧客のセキュリティリスク管理を支援するという。杉田氏は、今後インシデント後の復旧支援といったサービスも検討していくと説明した。

 説明会には、MS&ADサイバーリスクファインダーを自社のIT資産の診断に導入したというイオンペット 執行役員 情報システム本部長の平井丈裕氏と、ゲストとしてベライゾンジャパンでセキュリティソリューションの責任者を務める森マーク氏も登壇した。

 イオンペットの平井氏は、非常に多岐にわたる情報システム部門の業務の中で、セキュリティ診断を自社だけでなく社外の関係先に対しても適切に実施し続けることは、さまざまな負担が大きいと説明した。同社は、年次のセキュリティ予算を確保して各種のセキュリティ施策を実施しており、サイバー保険も活用しているという。

 こうした中でMS&ADインターリスク総研が提供するASMを自社のECサイトサービスに適用したところ、従来の社内視点だけなく社外から見た場合の自社IT資産のセキュリティ状態を把握できるようになったことや、診断を容易に実施しやすくなったこと、診断対象のドメイン数が少なければペネトレーションテストなどに比べてとても安価であることといったメリットを実感したという。平井氏は、ASMを活用してセキュリティ予算を有効的に利用できるようになり、セキュリティ教育の拡充などに生かしたいと語った。

 ベライゾンジャパンの森氏は、米Verizonが毎年刊行しているデータ漏えいや侵害の調査報告書「Data Breach Investigations Report」(DBIR)の最新版を引用し、インシデントの要因において脆弱性の悪用が前年から2.8倍に増加していると指摘した。

 要因別では、認証情報の窃取・悪用やフィッシングが多いものの、脆弱性の悪用では特に既知の脆弱性を狙ったケースが増加し、「ここまで脆弱性の悪用が増えるとは想定してなかった」(森氏)という。

 同報告書では、既知の脆弱性のうち情報公開から55日以内に修正対応されるものは50%未満であるなどの実態も指摘。森氏は脆弱性管理が極めて大事だと説いた。

元記事: https://japan.zdnet.com/article/35220243/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
GitLab、「GitLab 16.6」をリリース–「GitLab Duo Chat」ベータ版を搭載
IT関連
2023-11-19 12:00
自律型管理でユーザーの選択に自信を付与–タニウム、製品戦略を解説
IT関連
2024-06-16 20:56
大塚商会、2022年度上期は減収減益–提案力向上の取り組みなども
IT関連
2022-08-03 17:34
InDesignの出力環境を支えたプリプレスへのサポートと日本語フォントアーキテクチャの進化 InDesign日本語版発売20周年(後編) (1/2 ページ)
イラスト・デザイン
2021-02-18 20:23
GitHubがMarkdown内で数式表記をサポート、TeX/LaTeX構文で記述
GitHub
2022-05-23 10:33
セブン銀行と交通9社が1000円プレゼントキャンペーン キャッシュレス利用で非接触促す
最近の注目ニュース
2021-01-13 21:06
不動産業務支援SaaS「いえらぶCLOUD」で1区画内の複数物件を扱える「多棟連動」がリクルート「SUUMO」に対応
IT関連
2021-08-21 17:23
GWは旅行禁止? ジムも休館? よろしい、ならばZwiftだ :CloseBox(1/4 ページ)
トップニュース
2021-04-29 05:55
ミャンマーの新軍事政権がFacebookに続きTwitterの遮断も命令
ネットサービス
2021-02-07 22:18
レッドハット、非営利のオープンソース組織やプロジェクト向けに無償の「RHEL」プログラム
IT関連
2021-03-02 15:01
TikTokも未成年保護の新たな取り組み InstagramやGoogleに続き
アプリ・Web
2021-08-14 22:35
セキュリティ偏重ではいけない災害復旧計画の要諦
IT関連
2022-01-20 13:48
アマゾン、AI講座を無料で提供する「AI Ready」開始–奨学金制度も
IT関連
2023-11-24 20:12
M1 iMacのイエロー、 オレンジ、 パープルはApple Store専用販売
IT関連
2021-04-24 23:28