MS&AD、セキュリティリスク低減にアタックサーフェス管理を提言–イオンペットの事例も

今回は「MS&AD、セキュリティリスク低減にアタックサーフェス管理を提言–イオンペットの事例も」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 MS&ADインターリスク総研は6月17日、企業のセキュリティリスク低減に向けた取り組み関する説明会を開き、アタックサーフェス管理(ASM)の活用を訴求した。説明会では、ASMを導入したイオンペットも効果などを説明した。

 MS&ADインターリスク総研は、損害保険の「補償前後のあらゆるリスクに対するサポート」を事業の基軸とし、5月2日にASMを用いて自社や取引先のIT資産のリスクを診断する「MS&ADサイバーリスクファインダー取引先診断サービス」を発表。同サービスは、三井住友海上火災保険が3月から、あいおいニッセイ同和損保が5月から提供している。

 冒頭で三井住友海上火災保険 ビジネスデザイン部の宮井公太郎氏は、損害保険会社が万一の際に保障を提供するだけでなく、長年にわたり蓄積した事故の内容と対策の知見を顧客に提供する価値と位置付け、MS&ADグループでは、サイバーセキュリティ領域に最も注力していると背景を説明した。

 MS&ADサイバーリスクファインダー取引先診断サービスでは、MS&ADインターリスク総研が提携する米サイバー保険会社のCoalitionが開発したASMツールを用い、数十~数百社の関係企業や取引先の外部に公開されているIT資産のセキュリティリスクを診断する。対象先に対して月次や四半期ごとなどの頻度で診断とレポート化ができ、緊急度の高い脆弱(ぜいじゃく)性が検知された場合は、優先的に対処すべきリスクとしてアラートや対処策などを提示する。対処後の迅速な再診断なども行えるという。

 同サービスの提供目的についてMS&ADインターリスク総研 デジタルイノベーション本部 スペシャリスト・セキュリティ事業責任者の杉田司氏は、企業でサプライチェーンセキュリティリスクへの対応が喫緊のテーマである一方、従来のペネトレーションテストなどによるリスク診断は高額で、高頻度かつ大規模な対象への実施が難しいこと、サイバーセキュリティに関する高度な専門性が要求されることが課題にあると指摘した。

 また、関係会社や取引などへのセキュリティ監査では、書類などのチェックシートに回答を記入する方法が一般的だが、杉田氏は、監査元や監査先の双方にとって作業負荷が高いことや、セキュリティ対策状況の詳細な確認や是正指導、対処策の実施が難しいといった実情も指摘した。

 こうしたことからサイバー保険を扱う損害保険企業グループの特徴を生かして、MS&ADサイバーリスクファインダー取引先診断サービスをセキュリティインシデントの予防につなげるサービスに位置付け、万一の有事における保険と合せて、企業顧客のセキュリティリスク管理を支援するという。杉田氏は、今後インシデント後の復旧支援といったサービスも検討していくと説明した。

 説明会には、MS&ADサイバーリスクファインダーを自社のIT資産の診断に導入したというイオンペット 執行役員 情報システム本部長の平井丈裕氏と、ゲストとしてベライゾンジャパンでセキュリティソリューションの責任者を務める森マーク氏も登壇した。

 イオンペットの平井氏は、非常に多岐にわたる情報システム部門の業務の中で、セキュリティ診断を自社だけでなく社外の関係先に対しても適切に実施し続けることは、さまざまな負担が大きいと説明した。同社は、年次のセキュリティ予算を確保して各種のセキュリティ施策を実施しており、サイバー保険も活用しているという。

 こうした中でMS&ADインターリスク総研が提供するASMを自社のECサイトサービスに適用したところ、従来の社内視点だけなく社外から見た場合の自社IT資産のセキュリティ状態を把握できるようになったことや、診断を容易に実施しやすくなったこと、診断対象のドメイン数が少なければペネトレーションテストなどに比べてとても安価であることといったメリットを実感したという。平井氏は、ASMを活用してセキュリティ予算を有効的に利用できるようになり、セキュリティ教育の拡充などに生かしたいと語った。

 ベライゾンジャパンの森氏は、米Verizonが毎年刊行しているデータ漏えいや侵害の調査報告書「Data Breach Investigations Report」(DBIR)の最新版を引用し、インシデントの要因において脆弱性の悪用が前年から2.8倍に増加していると指摘した。

 要因別では、認証情報の窃取・悪用やフィッシングが多いものの、脆弱性の悪用では特に既知の脆弱性を狙ったケースが増加し、「ここまで脆弱性の悪用が増えるとは想定してなかった」(森氏)という。

 同報告書では、既知の脆弱性のうち情報公開から55日以内に修正対応されるものは50%未満であるなどの実態も指摘。森氏は脆弱性管理が極めて大事だと説いた。

元記事: https://japan.zdnet.com/article/35220243/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
ランサムウェア集団、ファイルを破壊すると脅す攻撃をテスト中
IT関連
2022-09-29 03:45
「350円でプロ仕様」 学生が普段使いできる製図用シャープペン ぺんてるが発売
くらテク
2021-05-13 06:05
バリュー株の逆襲と「NT倍率」急落、いつまで?–米国株が悩む「高圧経済」
IT関連
2021-03-26 21:51
Tenable、「Tenable One」を提供開始–攻撃経路の検出と効率的なリスク管理を支援
IT関連
2022-10-15 16:59
Cloudflare、シークレットを安全に管理できる「Cloudflare Secrets Store」ベータ公開
Cloudflare
2025-04-16 13:18
SNSでプラモ転売容認のホビー雑誌編集者、退職処分に 上司3人も降格 ホビージャパンが発表
ネットトピック
2021-07-27 09:20
米国の若手従業員、大多数が職場でAIを活用し有用性を認識
IT関連
2024-11-27 06:24
「RPGツクール2000/2003」で作ったゲームも投稿OK スマホでプレイ可能「ゲームアツマール」新機能
ネットトピック
2021-05-07 23:20
ヒカキンがVTuberデビュー チャンネル登録者数1000万人目指す
企業・業界動向
2021-08-04 15:36
Amazonアプリで障害か、「すぐ落ちる」報告相次ぐ PrimeビデオやKindleも【解決済み】
企業・業界動向
2021-06-25 13:24
マイクロソフト、プロセスマイニングベンダーのMinitを買収
IT関連
2022-04-02 19:13
経団連の前会長、中西宏明氏が死去 日立製作所のITシフトをけん引
企業・業界動向
2021-07-02 05:48
ペルチェ素子付きハンディ扇風機、サンコーが発売 「缶ジュースと同等の冷たさ」
くらテク
2021-05-25 02:24
NEC、サービスナウでITサービス運用を高度化へ
IT関連
2021-02-18 11:54