- 課題
- グローバル全体で40にも及ぶサイトと未実施のアプリを、工数を抑えつつ均一に診断し、診断頻度も向上させたい
- 導入
- AIによるサイト構造の自動探索で、コミュニケーションコストも含めて工数を削減できるAeyeScanを採用
- 効果
- 以前に比べ少ないコストと工数で、グローバル全体で一定のセキュリティを担保
背景と課題
バルブを中心とした流体制御機器の製造・販売や材料の開発などを通して社会インフラを支えるキッツでは、アジア各国やアメリカ、欧州とグローバルに事業を展開している。近年はデータドリブン、AIドリブンな形で事業成長を支える基盤としてデジタル技術に着目し、DXを推進してきた。
「社長をはじめとする経営陣は、デジタル技術をキードライバーだと捉えています。セキュリティも大事な要素であると理解した上で、必要な対策はしっかりやるべきだと支援してくれています」(同社IT統括センター ITインフラサービス部部長 杉山博一氏)
直近は特に、グループが一体となってセキュリティ対策を進めている。ITインフラの共通化とともに、キッツグループとしての標準的な「型」を定義し、エンドポイントやネットワークでのセキュリティ対策をグローバルに推進してきた。「グローバルに『ワン・キッツ』としての取り組みを進めています」(杉山氏)
Webサイトのセキュリティ診断もそういった取り組みの一つで、年に一回、外部のスペシャリストに依頼して診断を実施してきた。ただ、M&Aなどを経てグループ全体が拡大している上に、事業ごとに個別にWebサイトを作成してきた経緯もあり、すべてのサイトを網羅的に検査できているとは言いがたい状況だった。
その上、グループ会社も含めると約40に上るサイトを網羅的に診断するとなると、コストが膨らんでしまう。
「診断を一回実施するだけでも3〜4ヶ月の期間を要し、社内の工数もかかっていました。加えて、IT技術やAIがどんどん進化し、攻撃の種類も増えてくる中、年に一回の診断では攻撃側のスピードについていけないという懸念がありました。PCI DSSなどのセキュリティ標準に準拠する形で、より頻度を上げて診断を実施し、脆弱性を修正していける体制が必要ではないかと考えました」(同社ITインフラサービス部 ITデジタルプラットフォームグループ グループ長 守屋仁氏)
ソリューションの選定
キッツはこうした経緯から、外部の診断サービスにその都度依頼するのではなく、社内で診断を実施する前提でツールを模索し始めた。
グローバルで標準的なセキュリティ対策を推進するという大方針を立てているキッツにとって第一の条件は、プラットフォームも作りも異なる多様なサイトに対し、事前の調査やヒアリングなどの手間をかけず、一定品質の診断を実施できることだった。
グローバルな事業展開で34社ものグループ会社があることから、グループ内でもサイトの構成は多岐にわたる。担当者へ個別に構成を確認するとなると、英語でのコミュニケーションが必要になるケースも多く、大きな負担となっていた。
「海外も含めてグループ会社のサイトをすべて手動で診断するとなると、文字も言語も違うだけでなく、サイトの担当者にいちいち構成を確認するといったコミュニケーションコストがかかります。どの会社のサイトを診断するにしても、同じ手順で、一律のオペレーションで、均一なアウトプットが得られるツールを必要としていました」(守屋氏)
そうした観点からいくつかのツールを試していったが、単なるマルチ言語対応に留まり、グローバル対応に不安のある製品も多かった。そんな中、テクマトリックスから提案を受けたのがAeyeScanだった。
「AeyeScanであれば言語の壁を越えられるだけでなく、サイトがどのような構成になっているかをAIが自動で探索し、診断してくれるため、『これならばいけるかもしれない』と手応えを感じました」(守屋氏)
PoCによって、その直感は正しかったことが裏付けられた。「自分はセキュリティに関する専門知識があるわけではありませんでしたが、数分で設定を終え、一日のうちに一つのサイトの診断が完了しました。しかもレポートでは、指摘事項がリスクレベルごとに詳細に記されており、『とても簡単だ』というのが第一印象でした」(同社ITインフラサービス部 ITデジタルプラットフォームグループ 荒木秀幸氏)
さらに、手動診断のレポートと見比べて必要十分な検査が行えていることを確認し、採用を決定した。また、求めるレベルのグローバル対応が叶えられるかといったキッツの懸念点にもテクマトリックスを通じて丁寧な対応が得られ、PoCから導入までスピーディに進めることができた。
導入効果
キッツでは、ヘッドクォーターが診断プロジェクトを統括し、年に四回のペースでAeyeScanによる診断を実施している。
診断作業はアウトソーサーが担い、指摘事項があれば現地法人の担当者に共有し、サイトを作成したベンダーに再診断までの修正を依頼するという流れを整備した。IT専任の担当者がいるとは限らない現地スタッフでも、無理なく運用できる体制を事前に整え、周知した上でプロセスを回している。「総務部門が兼任しているなど、脆弱性診断について詳しく理解できていない会社もあります。そうした場合は我々が手厚くフォローしています」(同社ITインフラサービス部 ITデジタルプラットフォームグループ 野口雅義氏)
導入以来、すでに3回の診断を終え、サイクルは確実に軌道に乗り始めた。「最初のうちは、『これはどういう意味でしょうか』といったやりとりが複数回発生することもありましたが、今はレポートをグループ会社に展開し、その後のフォローまでをアウトソーサーに任せ、我々は進捗管理に注力できています」(荒木氏)
実際にAeyeScanでスキャンをかけてみると、脆弱性もさることながら、これまで存在を把握できていなかった公開サイトやページも洗い出せた。「この時代、どんどん新しいシステムを作って公開していくことが求められます。アップデートやリニューアルも頻繁に起こる中で、年一回の診断では追いつきません」(守屋氏)。未把握だったサイトやページ、改修なども年四回の診断で確実にカバーし、管理対象の中に含め、PDCAを回している。
「レポートに、詳しい指摘内容が再現方法も含めてしっかり記されているため、担当者からは『これは見やすくていいですね』といった返答をいただいています」(野口氏)と、肝心の修正も含めて素早く対応できている。こうした取り組みが功を奏し、外部の攻撃者視点で環境を評価するサービスで確認しても、スコアは確実に上昇し、業界平均以上を維持している。
今後の展望
AeyeScanの導入によって、キッツの当初の狙い通り、グローバル全体で一定のセキュリティを担保できるようになった。以前に比べ少ないコストで40サイトをカバーできており、コストパフォーマンスの面でも効果を感じている。経営層からは、経営課題であるセキュリティリスクに対し、エビデンスに基づいてしっかり対処できている点が評価されており、年次報告会の場でもこれらの成果を示す予定だ。
「セキュリティに100点はありませんが、その中で説明責任を果たしていくため、AeyeScanの導入も含めてさまざまな取り組みを並行して進めています。定型業務は外部やAIに任せ、社員は新たな価値を生むような業務に力を注げるようにしたいと考えています」(杉山氏)
すでにAeyeScanはキッツにとってなくてはならない存在になっているが、引き続き活用し、キッツグループならではのチームワークの良さも生かしながら、終わりなきグローバルでのセキュリティ対策に取り組んでいく。
