【採用事例】応用地質株式会社さま ~インシデントを好機ととらえる組織の力~
当社が提供するサイバーリスクアセスメントやPanoraysを使った組織のセキュリティ態勢改善の事例を紹介します。
インシデントは対岸の火事ではないと理解し対策に乗り出す組織、理解しているもののどこから手を付けてよいかわからない組織、やるべきことはわかっているものの上層部の理解が得られない組織など、どの状況のどのフェーズにいても、参考になる材料が必ず見つかると感じるお話をDX認定事業者でもある応用地質株式会社の執行役員でありDX推進本部長 CDO/CISOの松井 恭氏からうかがうことができました。
当社からはリスクアセスメントを中心に複数のサービスやプロダクトを提供させて頂いてきましたが、アセスメントをアセスメントで終わらせない取り組みも併せて、紹介します。セキュリティ態勢の強化やそのプロセスの参考に、是非、ご一読ください。ここでは、取材中におうかがいした背景や課題などの一部を抜粋してご紹介します。
<<<今後の展開や効果の詳細など完全版はこちら>>>
応用地質株式会社の執行役員 DX 推進本部長 CDO/CISO の松井 恭氏
応用地質株式会社のご紹介
1957年、理学分野である地質学を土木・工学分野に応用し、2つの分野の境界領域を開拓することで新しい市場の創造をめざし、「地質工学の創造」を旗印に、地質調査会社として設立されました。
東証プライム市場上場企業となった今でもこの創業当時のフロンティア精神は受け継がれ、デジタル技術との融合や異業種とのオープンイノベーションにより、地球科学に基づく技術で社会課題の解決に取り組んでいます。人と自然が調和した、豊かで安全・安心な社会の実現をめざす、地球科学のエキスパート企業です。
採用背景
さまざまなサービスをご利用いただくようになった背景は?
松井氏:当社の事業は東証のカテゴリでいうとサービスですが、業種でいうと地質調査業、測量業、建設業、あと環境省の指定の調査機関などです。そんな当社ですが、2017年ぐらいに現会長であり、前社長の成田が「ICT 技術をもっと積極的に活用して、生産性を上げ、事業を高度化する」と号令をかけ、その担当として取締役になり、情報企画室を立ち上げたのが現社長の天野で、そのときに、私も入社しています。それまでも、応用地質では、さまざまなデジタルサービスを提供していましたが、統制が上手く取れておらず、それぞれの事業部がそれぞれの事業に基づいて、ツールやサービスを提供していました。
当初、天野や私がいた部署は、今で言うところの「攻めのDX」で、「新規事業の展開」、「その中でICT を活用」という取り組みをメインにやっていました。それに対し「守りのDX」が、社内基盤維持やセキュリティ系で、これは事務本部配下のシステム推進部が担っていました。この二つは表裏一体なので、それぞれの意思決定でやっていても、効率の良い話ではないですし、矛盾も発生するだろうということで、組織改編したときに、情報企画本部が、攻めと守りの両方をカバーするという形にしました。
その矢先、2021 年9 月、ある事業部が提供していたサービスがランサムウェア攻撃を受けてしまい、サービスが2、3 ヶ月停止する事態になりました。幸いにもお客さまに大きなご迷惑をおかけするまでには至らなかったのですが、世の中でも騒がれていたランサムウェアの攻撃を受け、サービスが停止したということで、情報企画本部にも調査、および対応の指示が出ました。
その対策を協議していた頃から、SOMPOリスクマネジメントさん(以下、SRM)とはいろいろ密に連絡を取り始めたと記憶しています。当時はサイバー保険をかけており、その特約で調査等にご協力を頂きました。
課題
前出の背景を踏まえ、見えてきた課題とは?
松井氏:その時の報告書を私も読みましたが、攻撃の足跡を正確にたどれない状況でした。仕組みが整っていないので、どうやらここを攻撃されたらしいという断片的なログはあるものの、確定的なことが言えない状況でした。
これは問題だという話になっていた矢先、2022 年1 月、今度はグループ会社のホームページが改ざんされる事件が発生しました。わずか半年の間に立て続けに事件が起こってしまい、グループ会社も含めた本格的な対応を検討するという話になりました。
まず、課題の洗い出しのための取り組みとして、第三者によるアセスメントで現状把握を行うことになりました。SRM さんにも相談して、サードパーティのリスク評価のためのプラットフォーム『Panorays』を導入したり、一通りのサイバーセキュリティ対策に関する運用アセスメントを実施してもらうことになりました。単なるシステムの脆弱性診断だけではなく、運用にも問題がある可能性があるので、聞き取りを含むアセスメントの実施も重要と考え、外部公開のサーバの脆弱性診断、およびセキュリティチェックシートとヒアリングによる運用リスクの抽出をグループ会社も含め実施していただきました。
結果は、アタックサーフェスがセキュアな状態の会社が国内12 社中3 社しかなく、 運用リスク面を見ると、1 社たりとも大丈夫だと言える会社はないという惨憺たる状況でした。
当時私はお客さま向けのクラウドサービスプラットフォーム等を構築していましたが、 説明責任も含めて他人事ではないと強く思い始めました。私も元々は大手システムイン テグレーターの出身ですし、実際に手を動かした人間もIT 業界の出身者だったので、 当然のごとく、セキュリティ要件の対策はしているつもりではありましたが、第三者評価 は実施していませんでしたので、良い機会ということで、診断してもらうことにしました。 脆弱性診断だけではなく、もう少し踏み込んだネットワークペネトレーションテストまで 実施した方が良いと考え、SRM さんにそれも相談したところ、対応できるということだった ので、全社の取り組みと並行し実施することにしました。
お願いしたのは大きく二つで、一つはプラットフォームそのものへの不正侵入ができるか どうか、いわゆるネットワークペネトレーションテストです。もう一つはWeb アプリケー ション診断です。我々の構築していたシステムは、ユーザさまにパスワードやID を発行し てご利用いただいているサービスです。パスワードとID が漏洩し、なりすましでログイン されても、システムの基盤自体に介入したり、他のユーザの領域に侵犯できないような設計 にしているつもりではありましたが、そういう部分も「第三者の目で確認する」ということ でWeb アプリケーション内の入出力項目等を中心に脆弱性診断を実施していただきました。
結果として、ネットワークは侵入不可で、「当然だよ」と思ったのですが、もっと自信を持って いたアプリケーションには問題が出てしまいました。クリティカルはさすがになかったの ですが、レベル高の脆弱性が2 ヶ所あり、あれほど注意していたSQL インジェクション 対応が漏れている箇所とアクセス権限のチェック漏れが検出されました。第三者目線の 診断を実施するメリットを実感すると同時に、その結果も信頼できる診断サービスだな と感じました。
課題に対する対応とまとめ
*実際に取られたプロセスとアクションや、セキュリティ態勢強化における重要な点のまとめを含めた詳細はPDF版からご覧いただけます。
サイバーリスクアセスメントのご紹介
SOMPO CYBER SECURITYでは、セキュリティ対策の第一歩であるリスクの可視化による現状把握、それに続く効果的な対策計画の立案をサポートするサイバーリスクアセスメント コンサルティングサービスを提供しています。
今回は代表的なリスクアセスメントサービスを事例として紹介していますが、サイバーリスクアセスメント コンサルティングサービスでは、他にもペネトレーションテストなど、各組織のニーズと予算に合わせた組み合わせでご利用いただけるよう、豊富なオプションをご用意しています。
