MS&AD、セキュリティリスク低減にアタックサーフェス管理を提言–イオンペットの事例も

今回は「MS&AD、セキュリティリスク低減にアタックサーフェス管理を提言–イオンペットの事例も」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 MS&ADインターリスク総研は6月17日、企業のセキュリティリスク低減に向けた取り組み関する説明会を開き、アタックサーフェス管理(ASM)の活用を訴求した。説明会では、ASMを導入したイオンペットも効果などを説明した。

 MS&ADインターリスク総研は、損害保険の「補償前後のあらゆるリスクに対するサポート」を事業の基軸とし、5月2日にASMを用いて自社や取引先のIT資産のリスクを診断する「MS&ADサイバーリスクファインダー取引先診断サービス」を発表。同サービスは、三井住友海上火災保険が3月から、あいおいニッセイ同和損保が5月から提供している。

 冒頭で三井住友海上火災保険 ビジネスデザイン部の宮井公太郎氏は、損害保険会社が万一の際に保障を提供するだけでなく、長年にわたり蓄積した事故の内容と対策の知見を顧客に提供する価値と位置付け、MS&ADグループでは、サイバーセキュリティ領域に最も注力していると背景を説明した。

 MS&ADサイバーリスクファインダー取引先診断サービスでは、MS&ADインターリスク総研が提携する米サイバー保険会社のCoalitionが開発したASMツールを用い、数十~数百社の関係企業や取引先の外部に公開されているIT資産のセキュリティリスクを診断する。対象先に対して月次や四半期ごとなどの頻度で診断とレポート化ができ、緊急度の高い脆弱(ぜいじゃく)性が検知された場合は、優先的に対処すべきリスクとしてアラートや対処策などを提示する。対処後の迅速な再診断なども行えるという。

 同サービスの提供目的についてMS&ADインターリスク総研 デジタルイノベーション本部 スペシャリスト・セキュリティ事業責任者の杉田司氏は、企業でサプライチェーンセキュリティリスクへの対応が喫緊のテーマである一方、従来のペネトレーションテストなどによるリスク診断は高額で、高頻度かつ大規模な対象への実施が難しいこと、サイバーセキュリティに関する高度な専門性が要求されることが課題にあると指摘した。

 また、関係会社や取引などへのセキュリティ監査では、書類などのチェックシートに回答を記入する方法が一般的だが、杉田氏は、監査元や監査先の双方にとって作業負荷が高いことや、セキュリティ対策状況の詳細な確認や是正指導、対処策の実施が難しいといった実情も指摘した。

 こうしたことからサイバー保険を扱う損害保険企業グループの特徴を生かして、MS&ADサイバーリスクファインダー取引先診断サービスをセキュリティインシデントの予防につなげるサービスに位置付け、万一の有事における保険と合せて、企業顧客のセキュリティリスク管理を支援するという。杉田氏は、今後インシデント後の復旧支援といったサービスも検討していくと説明した。

 説明会には、MS&ADサイバーリスクファインダーを自社のIT資産の診断に導入したというイオンペット 執行役員 情報システム本部長の平井丈裕氏と、ゲストとしてベライゾンジャパンでセキュリティソリューションの責任者を務める森マーク氏も登壇した。

 イオンペットの平井氏は、非常に多岐にわたる情報システム部門の業務の中で、セキュリティ診断を自社だけでなく社外の関係先に対しても適切に実施し続けることは、さまざまな負担が大きいと説明した。同社は、年次のセキュリティ予算を確保して各種のセキュリティ施策を実施しており、サイバー保険も活用しているという。

 こうした中でMS&ADインターリスク総研が提供するASMを自社のECサイトサービスに適用したところ、従来の社内視点だけなく社外から見た場合の自社IT資産のセキュリティ状態を把握できるようになったことや、診断を容易に実施しやすくなったこと、診断対象のドメイン数が少なければペネトレーションテストなどに比べてとても安価であることといったメリットを実感したという。平井氏は、ASMを活用してセキュリティ予算を有効的に利用できるようになり、セキュリティ教育の拡充などに生かしたいと語った。

 ベライゾンジャパンの森氏は、米Verizonが毎年刊行しているデータ漏えいや侵害の調査報告書「Data Breach Investigations Report」(DBIR)の最新版を引用し、インシデントの要因において脆弱性の悪用が前年から2.8倍に増加していると指摘した。

 要因別では、認証情報の窃取・悪用やフィッシングが多いものの、脆弱性の悪用では特に既知の脆弱性を狙ったケースが増加し、「ここまで脆弱性の悪用が増えるとは想定してなかった」(森氏)という。

 同報告書では、既知の脆弱性のうち情報公開から55日以内に修正対応されるものは50%未満であるなどの実態も指摘。森氏は脆弱性管理が極めて大事だと説いた。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
オラクル、OLTP/OLAP性能ともに最大で3倍以上とする「Oracle Exadata X10M」発表、96コアの第四世代AMD EPYCに最適化
Oracle
2023-06-26 16:30
複数ツールの利用が生む複雑さに対処–New RelicステイプルズCEOが語る開発者の課題
IT関連
2023-09-16 17:06
IoTやAIを活用した保育支援サービス「ルクミー」を手がけるユニファが40億円のシリーズD調達
EdTech
2021-06-03 16:04
VTuberを“バーチャル観光大使”に 埼玉県が7月に公募 若手職員が発案
ネットトピック
2021-06-10 13:18
CTCとアスタミューゼ、ESGデータ活用サービスを開発–金融機関の投融資業務を支援
IT関連
2023-05-27 23:09
サイバーセキュリティの最も重要な原因となっているヒューマンエラーに対処する独SoSafe
IT関連
2022-01-18 13:55
グーグルとインドのJio Platformsが低価格Androidスマホ「JioPhone Next」を発表
ハードウェア
2021-06-26 13:43
日本IBM、ハイブリッドクラウドとAIへの取り組み状況を説明
IT関連
2021-06-11 08:01
コロナ禍でのオンラインシフト加速を受けてID認証のSocureが109億円調達
ソフトウェア
2021-03-18 05:28
YouTubeの楽器レッスン動画を個別指導風にする「Soloist」 トロント大学が開発 :Innovative Tech
イラスト・デザイン
2021-02-04 20:04
マイクロソフト「Teams」の「ダイナミックビュー」がパブリックプレビューに
IT関連
2021-04-26 09:12
子供に5000円分の電子地域通貨を配布 群馬県みなかみ町
IT関連
2021-08-11 16:25
品川区、戸籍専門書籍のAI検索サービスを導入–戸籍事務の業務効率化と正確性を向上
IT関連
2022-08-28 03:58
エイシング、32ビットマイコンに実装可能なAIアルゴリズムを開発
IT関連
2021-01-15 20:21