MS&AD、セキュリティリスク低減にアタックサーフェス管理を提言–イオンペットの事例も

今回は「MS&AD、セキュリティリスク低減にアタックサーフェス管理を提言–イオンペットの事例も」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 MS&ADインターリスク総研は6月17日、企業のセキュリティリスク低減に向けた取り組み関する説明会を開き、アタックサーフェス管理(ASM)の活用を訴求した。説明会では、ASMを導入したイオンペットも効果などを説明した。

 MS&ADインターリスク総研は、損害保険の「補償前後のあらゆるリスクに対するサポート」を事業の基軸とし、5月2日にASMを用いて自社や取引先のIT資産のリスクを診断する「MS&ADサイバーリスクファインダー取引先診断サービス」を発表。同サービスは、三井住友海上火災保険が3月から、あいおいニッセイ同和損保が5月から提供している。

 冒頭で三井住友海上火災保険 ビジネスデザイン部の宮井公太郎氏は、損害保険会社が万一の際に保障を提供するだけでなく、長年にわたり蓄積した事故の内容と対策の知見を顧客に提供する価値と位置付け、MS&ADグループでは、サイバーセキュリティ領域に最も注力していると背景を説明した。

 MS&ADサイバーリスクファインダー取引先診断サービスでは、MS&ADインターリスク総研が提携する米サイバー保険会社のCoalitionが開発したASMツールを用い、数十~数百社の関係企業や取引先の外部に公開されているIT資産のセキュリティリスクを診断する。対象先に対して月次や四半期ごとなどの頻度で診断とレポート化ができ、緊急度の高い脆弱(ぜいじゃく)性が検知された場合は、優先的に対処すべきリスクとしてアラートや対処策などを提示する。対処後の迅速な再診断なども行えるという。

 同サービスの提供目的についてMS&ADインターリスク総研 デジタルイノベーション本部 スペシャリスト・セキュリティ事業責任者の杉田司氏は、企業でサプライチェーンセキュリティリスクへの対応が喫緊のテーマである一方、従来のペネトレーションテストなどによるリスク診断は高額で、高頻度かつ大規模な対象への実施が難しいこと、サイバーセキュリティに関する高度な専門性が要求されることが課題にあると指摘した。

 また、関係会社や取引などへのセキュリティ監査では、書類などのチェックシートに回答を記入する方法が一般的だが、杉田氏は、監査元や監査先の双方にとって作業負荷が高いことや、セキュリティ対策状況の詳細な確認や是正指導、対処策の実施が難しいといった実情も指摘した。

 こうしたことからサイバー保険を扱う損害保険企業グループの特徴を生かして、MS&ADサイバーリスクファインダー取引先診断サービスをセキュリティインシデントの予防につなげるサービスに位置付け、万一の有事における保険と合せて、企業顧客のセキュリティリスク管理を支援するという。杉田氏は、今後インシデント後の復旧支援といったサービスも検討していくと説明した。

 説明会には、MS&ADサイバーリスクファインダーを自社のIT資産の診断に導入したというイオンペット 執行役員 情報システム本部長の平井丈裕氏と、ゲストとしてベライゾンジャパンでセキュリティソリューションの責任者を務める森マーク氏も登壇した。

 イオンペットの平井氏は、非常に多岐にわたる情報システム部門の業務の中で、セキュリティ診断を自社だけでなく社外の関係先に対しても適切に実施し続けることは、さまざまな負担が大きいと説明した。同社は、年次のセキュリティ予算を確保して各種のセキュリティ施策を実施しており、サイバー保険も活用しているという。

 こうした中でMS&ADインターリスク総研が提供するASMを自社のECサイトサービスに適用したところ、従来の社内視点だけなく社外から見た場合の自社IT資産のセキュリティ状態を把握できるようになったことや、診断を容易に実施しやすくなったこと、診断対象のドメイン数が少なければペネトレーションテストなどに比べてとても安価であることといったメリットを実感したという。平井氏は、ASMを活用してセキュリティ予算を有効的に利用できるようになり、セキュリティ教育の拡充などに生かしたいと語った。

 ベライゾンジャパンの森氏は、米Verizonが毎年刊行しているデータ漏えいや侵害の調査報告書「Data Breach Investigations Report」(DBIR)の最新版を引用し、インシデントの要因において脆弱性の悪用が前年から2.8倍に増加していると指摘した。

 要因別では、認証情報の窃取・悪用やフィッシングが多いものの、脆弱性の悪用では特に既知の脆弱性を狙ったケースが増加し、「ここまで脆弱性の悪用が増えるとは想定してなかった」(森氏)という。

 同報告書では、既知の脆弱性のうち情報公開から55日以内に修正対応されるものは50%未満であるなどの実態も指摘。森氏は脆弱性管理が極めて大事だと説いた。

元記事: https://japan.zdnet.com/article/35220243/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
富士通が注力する「Uvance」はSAPとの協業拡大で勢いづくか
IT関連
2023-09-23 08:46
「バクラク請求書」、取引先が適格請求書発行事業者かを取引先マスターから判定
IT関連
2022-06-26 00:57
YEデジタルとアビーム、戦略的業務提携を締結
IT関連
2022-06-30 04:45
AWS、コンテナにWebアプリを置くと簡単にデプロイが完了する「App Runner」リリース。オートスケール、ロードバランス、証明書の管理などすべておまかせ
AWS
2021-05-24 18:00
AWS、追加料金なくAmazon RDS for PostgreSQLの性能を最大2倍に引き上げる「Amazon RDS Optimized Reads」のAmazon RDS for PostgreSQL対応を発表
AWS
2023-04-13 20:24
JetBrains、「Google Gemini」をGitHub Copilot対抗の「JetBrains AI Assistant」に採用へ
Google Cloud
2024-06-26 00:08
アマゾンの中国販売者にVCやロールアップ戦略の企業は熱視線を送っている
VC / エンジェル
2021-06-24 20:00
伊丹市、働き方改革に向け「スマート庁舎」のITインフラを整備–アライドテレシスが支援
IT関連
2023-10-28 22:41
SUBARU、国内工場を一時停止 半導体供給に支障
企業・業界動向
2021-01-17 21:16
Uberの第2四半期は配車、配達事業の売上高は成長するも赤字幅は拡大
シェアリングエコノミー
2021-08-06 20:45
電動「ねこ車」のCuboRexが愛知県の海岸清掃プロジェクト「表浜 BLUE WALK 2021」とコラボ、作業効率化の実証実験
モビリティ
2021-08-03 21:07
ワークマン、約10万品目の発注業務を自動化する新システムを導入
IT関連
2021-04-21 23:12
長いポッドキャストを60秒のパーソナライズされた「音声ニュースフィード」に変えるPodz
ソフトウェア
2021-02-12 05:06
MS、「OAuth」を悪用した不正アプリによる「同意フィッシング」に警鐘
IT関連
2023-02-03 05:04