【導入事例】京セラコミュニケーションシステム株式会社さま ~評価の客観性を担保しつつ、「一緒に」改善を進める環境づくり~(Panorays)
サプライチェーンリスク評価サービス『Panorays』の導入事例として、京セラコミュニケーションシステム株式会社さまにお話をうかがいました。
印象に残ったのは、一方的ではない環境づくりです。それは、現場から経営層へ、経営層から現場へ、セキュリティ担当者から全社員への環境づくり、グループ会社に対する環境づくりなど、「みんなで一緒に作り上げていく」という組織の姿勢がうかがえるキーメッセージであったと感じています。環境の変化により生まれる新しい課題に向き合い、みんなで一緒に解決・改善を試みることが不可欠だとわかっていても、実現させるのは容易ではありません。
Panoraysの各種機能や、グループ会社であり、Panoraysの販売代理店でもあるエムオーテックス株式会社(以下MOTEX)のサポートを上手く活用し、それを実現させている京セラコミュニケーションシステム株式会社(以下KCCS)管理本部情報システム部 東京情報システム課 副課長 小松 佳昭氏に、サードパーティのサイバーリスク評価サービスであるPanoraysの導入に至った経緯やその効果などをうかがいました。
*販売パートナーであるMOTEXは、KCCSグループに属している。本インタビューには、Panoraysを導入したKCCSのセキュリティ担当者である小松氏とともに、運用支援・サポートを行っているMOTEX 佐藤 宏昭氏、河野 悠太氏、田野 真也氏も同席。
グループ会社との向き合い方、グループ全体のセキュリティ態勢のボトムアップの参考に、是非、ご一読ください。ここでは、取材中におうかがいしたPanoraysの導入に至った背景やその活用方法などの一部を抜粋してご紹介します。
<<<今後の展開や効果の詳細など完全版はこちら>>>
KCCS 管理本部 情報システム部 東京情報システム課 副課長 小松 佳昭氏
KCCSおよびMOTEXのご紹介
京セラコミュニケーションシステム株式会社
1995年、京セラ株式会社の情報システム部門が分離独立して事業を開始し、現在では「ICT」「エンジニアリング(通信・環境エネルギー)」「経営コンサルティング」の分野において事業を展開しています。AI、IoT、5Gをはじめとする先端技術と、京セラグループが推進する事業のノウハウなどを融合させ、新たなサービスを生み出し、社会に貢献することを目指します。
エムオーテックス株式会社
サイバーセキュリティに関するプロダクト開発・サービス事業を行っているKCCSのグループ会社で、「Secure Productivity(安全と生産性の両立)」をミッションに、「LANSCOPE」ブランドのもと、エンドポイント対策からセキュリティ診断・コンサルティングまで、お客さまのサイバーセキュリティの課題解決を総合的かつ網羅的に支援します。
利用背景・課題
ⅰ. ここ10年ほどの貴社を取り巻く環境の変化は?
小松氏:外部的な要因としては、働き方の変化を促された点が一番大きいかと思います。
KCCSでは東京でのオリンピック開催に合わせて、東京エリアについては在宅勤務を考慮に入れた準備を進めていましたが、新型コロナウイルス感染拡大により、その準備が整う前に全国で在宅勤務をせざるをえない状況になってしまいました。そのためセキュリティ環境も、それまでは「境界型セキュリティ」で守られていましたが、社員の各家庭から接続する環境に一変し、各人のセキュリティ環境を信頼して大丈夫なのか、という懸念が発生しました。
社内的な環境変化では、経営課題としてのサイバーセキュリティがよりクローズアップされてきたことが挙げられます。グループとしてセキュリティ事業を行っているため、もともと経営層を含めて意識が高い組織であったと思っていますが、昨今のEmotetの流行やランサムウェア攻撃の増加などで、より一層敏感になってきたというところもあります。
グループ内・社内のセキュリティ態勢に関しては、以前から私の部門が担っていますが、我々からの「こういう状況で、こういう対策が必要」というボトムアップだけでなく、経営層からの「ここは大丈夫なのか」といったトップダウンもある状態です。繰り返しになりますが、セキュリティ事業を行うグループとしてインシデントは信用問題に直結するため、最善を尽くし、できる限りリスクを軽減するという意識は高く持てていると思っており、ここ数年は毎月、経営層にCSIRTの活動報告をメインに報告会も実施しています。
ⅱ. 前出の環境の変化による日々の業務への影響は?
小松氏: より注目するようになったのはメール攻撃などのリスクです。
以前から年に一度 メール訓練を実施していましたが、最近は訓練の回数を増やし、全社員に世間で 話題になっている事例を使った訓練も行っています。通信監視の担当チームも、 感度をより一層上げて、異常な通信を検知した場合は、即座に該当端末の利用者 に連絡を取ってヒアリングをしています。
サイバーセキュリティにおける社員教育の方針は以前からあり、年に1回、社内 外の事件・事故を参考にした自作コンテンツでのeラーニングを実施しています。それに加え、メール訓練で疑似不正メールを開いてしまった社員を召集して 別途教育をしたり、訓練後の社員アンケートでなぜ引っかかってしまったのかと いった部分を深掘りして、それを落とし込んだ教育も立案したりしています。 現在、企画中なのが「ミニ教育」です。5~10分で終わるような簡単なもので、 「セキュリティ強化週間」を設けて毎朝ミニ教育コンテンツを配布し、各部門の 朝礼で「どこにリスクが潜んでいるのか」を理解してもらえるよう、より親しみ やすい教育を整備し、将来的には各部門の新人やパートナーさまの教育などにも 使えるよう計画しているところです。
ⅲ. 環境変化に伴う苦労や課題は?
小松氏: 各社、同じ悩みを抱えていると思いますが、セキュ リティ人材確保はKCCSとしても課題です。
KCCS単体ではセキュリティ強化に充分なリソースを割け ませんが、幸いにもグループ会社のMOTEXにSOC を提供するメンバーがいますので、彼らと共に KCCS-CSIRTチームを作っています。私のいる情報 システム部門は、セキュリティ以外のネットワーク や環境的なことも主管しているので、セキュリティ に特化した人材を確保することは難しく、MOTEX のサポートなしにはやっていけないなと感じてい ます。
あとは、環境の変化としてもう1つ、サプライチェーン攻撃が流行り始めた、というものがあります。私達も、KCCS単体を強固に守りましょう、から、グループ全体を守りましょう、へと意識が変化しました。グループ全体のセキュリティレベルを如何に上げていく のか。会社規模の大小もあり、一斉に同じレベルを要求するのも無理があるので、バラバ ラな状態をどうカバーしていくのかが大きな課題ではありました。弊社のCSIRTでは、 例えばメール訓練のチーム、脆弱性対応のチームと、色々と役割を分担しているのです が、グループセキュリティを担当するチームというのも存在します。本日、同席している 佐藤を中心に稼働しているチームです。各グループ会社にヒアリングを実施し、何に不 安を感じていて、どういう支援が必要なのかを把握し、対策をアドバイスします。この手 の業務は、親会社の言うことは絶対という雰囲気になりがちなので、できるだけそのよ うな空気を作らないよう、コミュニケーションの仕方も模索しています。グループ全体 のセキュリティの底上げなので、一方通行ではなく、「一緒に協力しながら」という姿勢 を重視しています。
導入経緯・理由
ⅰ. Panoraysを知ったきっかけは?
小松氏:MOTEXの佐藤に、グループ会社のセキュリティ態勢の底上げを図りたい、と相談したところ、Panoraysを紹介してもらいました。スタートラインとして、各社最低基準を満たしているのか否かを調査する必要があり、導入を決めました。
MOTEX 田野 真也氏、河野 悠太氏、佐藤 宏昭氏
ⅱ. 採用に至った決め手は?
佐藤氏:当時、SOMPOリスクマネジメントと協業を進めていた同僚を通してPanoraysの存在を知りました。
KCCS-CSIRTにおいて小松と共に各グループ会社のセキュリティ対策を確認していますが、以前は各グループ会社の担当者に口頭で「御社のセキュリティ対策を教えてください」「ここを改善しましょう」というやり取りが中心でした。しかし、「対策はしていますか?」という形で質問しても、大概「はい」という回答しか返ってきませんし、性善説で対策できていると信じてよいのかという問題があります。本当に全部のサーバにおいて問題がない状況なのかなど、本当の懸念は払拭できません。その点、機械的かつ網羅的に評価できるPanoraysであれば、口頭のヒアリングの裏取りのような役割で使えるのではないか、という発想に至りました。自己申告に頼らない機械的な方法で、客観性を担保できるのではないかと思い、小松に提案した次第です。
小松氏:他のセキュリティ製品を購入するより、比較的手の出しやすい価格帯という印象もあります。
防御をするためのツールではありませんが、そういうツールは高価でもあります。Panoraysは穴があれば教えてくれるので、グループ全体を攻撃しづらい対象に変えていくことはできると考えています。
導入効果と今後の展開・展望
*実際の導入効果や今後の展望を含めた詳細はPDF版からご覧いただけます。
Panoraysについてご紹介
サードパーティのセキュリティ態勢に関する可視性とコントロールは、自組織のセキュリティ態勢を維持する上で重要です。
SOMPO CYBER SECURITYがサプライチェーンリスク評価サービスとして提供するサイバーセキュリティ リスクレーティングプラットフォーム「Panorays」は、内部評価(自動化されたセキュリティに関する質問票)と外部評価(アタックサーフェスの評価)をビジネス上の関係性を考慮に入れて、総合的にサードパーティを評価し、リスクを迅速かつ正確に把握できるようにします。
継続的にサードパーティを監視および評価し、日々変化を続けるサイバー空間の脅威や侵害に関するアラートを提供することで、グループ会社やサプライチェーンといったサードパーティの侵害に対し、迅速かつ包括的に対応し、修復し、復旧する為に役立ちます。
