企業成長を支えるITリスクマネジメント ~Visional Security Lounge Vol.5 開催レポート~
Visionalでは、「新しい可能性を、次々と。」をグループミッションに掲げ、産業のDXを推進するさまざまな事業を展開しています。HR Tech領域のみならず、脆弱性管理クラウド「yamory(ヤモリー)」やクラウドリスク評価「Assured(アシュアード)」など、セキュリティ領域の事業展開にも注力しています。
そうした事業展開と並行して、ITサービスを提供する会社として、セキュリティ面でもお客様に安全・安心にご利用いただくため、社内のセキュリティ体制構築、および自社サービスのセキュリティ対策を徹底して推進しています。また、社会全体のセキュリティ向上に寄与していくことを目指して、セミナー企画「Visional Security Lounge」を昨年から実施しています。
今回は、2022年11月25日に実施した第5回目の「Visional Security Lounge」の内容を抜粋してレポートします。テーマは、「脆弱性管理の効率化&SaaS活用・リスク管理の両立~企業成長を支えるITリスクマネジメント~」です。
テクノロジーの進化やDX加速の一方で、セキュリティリスクは年々高まり続けています。2022年も世界中で多くのセキュリティインシデントが発生し、ニュースとして広く取り上げられるものもありました。企業成長にはテクノロジーの活用が必要不可欠ですが、こうしたリスクをしっかり管理することが非常に重要です。
そこで当日は、Visionalグループ全体のセキュリティ領域を担う、セキュリティ室の峯川康太と粂川智秀が登壇し、効率的な脆弱性管理の運用およびSaaSリスク評価について、抱えていた課題やその解決に向けた取り組み、導入ツール等についてお話ししました。
【テーマ】
脆弱性管理の効率化&SaaS活用・リスク管理の両立 ~企業成長を支えるITリスクマネジメント~
【内容】
●イントロダクション
‐VisionalグループのITリスクマネジメント
Visionalグループ 最高情報セキュリティ責任者 若井 大佑
●メインセッション
‐脆弱性管理の効率化
ビジョナル株式会社 ITプラットフォーム本部 セキュリティ室
サイバーセキュリティグループ セキュリティエンジニア 峯川 康太
‐SaaS活用・リスク管理の両立
ビジョナル株式会社 ITプラットフォーム本部 セキュリティ室 室長 粂川 智秀
●質疑応答
イントロダクション 「VisionalグループのITリスクマネジメント」
冒頭は、Visionalグループ 最高情報セキュリティ責任者の若井より、Visional グループのITリスクマネジメントについてお話ししました。
若井 大佑/Wakai Daisuke
Visionalグループ 最高情報セキュリティ責任者
1999年、銀行のシステム子会社に入社し、技術開発、インフラ業務に従事。2007年より、ソフトバンクBB株式会社(現:ソフトバンク株式会社)で情報セキュリティを中心としたソリューションの導入・運用やセキュリティオペレーションセンターの開設を担当。2015年、セキュリティ戦略部部長に就任。2017年、株式会社ビズリーチに入社し、2019年、CISO兼情報システム本部本部長に就任。2020年2月より、ビジョナル株式会社へ。現在は、Visionalグループ全体の情報セキュリティ及びITインフラの部門長として、ビジョナル株式会社 ITプラットフォーム本部 本部長を務める。
セキュリティは、お客様、会社、社員を守るうえでの大切なテーマです。セキュリティ組織が一方的にルールを押し付けて、社員が仕方なくやるという関係ではなく、必要なことを分かりやすく伝え、共に解決していく姿勢が重要だと考えています。Visionalのセキュリティ室では、事業や社員からあがってくるやりたいことを全力でサポートし、事業と共存するための活動を行っています。
Visionalグループには、「ビズリーチ」のほか、インキュベーション領域の新規事業など、フェーズや規模の異なる事業が共存しています。大きな事業に合わせた対策を新規事業に適用してしまうと、新規事業立ち上げの阻害要因の一つになってしまうため、規模と対策のバランスが重要だと考えています。
ステージごとに優先すべき対策事項を定義し、ステージが上がるにつれて対策事項が増えていくように設定しています。この対策事項に合わせて、周期的に対策状況のモニタリング、評価を行っています。
評価についても、様々なツール・方法を用いていますが、対策の優先順位を分かりやすくするために、それぞれの評価基準を統一しています。
危険度・対応基準・フローを一本化し、それらを並べた状態で対応優先順位をつけるようにしているため、危険度の高いものから順番に対応をしてもらうように工夫をしています。また、発生したリスク改善におけるプロセスも一本化して、計画策定、定期的な改善状況の確認を行い、経営会議で報告するなど、経営を巻き込んだ全社での取り組みを進めています。
本日は、Visionalグループのリスク管理における取り組みと、具体的に使用しているツールや手法についてご紹介します。
メインセッション1 「脆弱性管理の効率化」
セミナーの前半では、効率的な脆弱性管理に関して、これまでどのような課題と向き合い、現在どのように効率化を実現しているかについて峯川がお話ししました。
プロフィール
峯川 康太/Minekawa Kota
ビジョナル株式会社 ITプラットフォーム本部 セキュリティ室 サイバーセキュリティグループ セキュリティエンジニア
大学卒業後、SIerにて、自治体向けのソリューション営業に従事した後、セキュリティベンダーにて、主に外部・グループ内部向けの脆弱性診断の企画〜診断とグループ内部向けのセキュリティ対策支援を担当。2022年6月にビジョナル株式会社に入社し、主にVisonalグループ各社に対する脆弱性診断と脆弱性是正支援、Visonalグループ内の脆弱性管理に従事。
・Visionalの脆弱性管理
脆弱性管理とは、一般的にシステムやソフトウェアのセキュリティ上の脆弱性を特定、評価、対応、レポートするプロセスを指し、組織に影響を及ぼす情報セキュリティリスクを低減することが目的です。
一般的な脆弱性管理フローとしては、まずセキュリティ担当者がネット上でリサーチ、ツールなどで情報収集し、その脆弱性が自組織に影響があるかを確認。影響があると判断した場合は、開発担当に該当するバージョンを利用していないかの確認・対応依頼を行い、回答・対応報告を待つ、という流れが何度も繰り返されます。脆弱性管理を効率化するためには、組織全体のソフトウェアの可視化と、プロセスの自動化が重要です。
Visionalグループではセキュリティ室にて、脆弱性情報・脅威情報の調査・評価を行い、グループ内の各プロダクト開発チームへ共有、連携、レポーティング、脆弱性修正の依頼を行っています。また、Webアプリケーションからサーバ、コンテナ、クラウド、インフラと全てのレイヤーに対して、内製で脆弱性管理を実施しており、ソフトウェア脆弱性管理に関しては、脆弱性管理クラウド「yamory」も活用して効率化を実現しています。
・脆弱性管理の課題と効率化の実現
脆弱性管理に課題を抱える企業様は多いと思いますが、Visionalグループでもこのような課題に直面していました。
まず1点目は、情報収集に関する課題です。NVD、JVN、IPAなどの情報リソースの確認、ソフトウェア公式サイトの脆弱性更新情報の確認、SNS上で話題になっている攻撃や、攻撃コードのリサーチなど、手動での情報収集は膨大な工数がかかり、担当者の負担が大きくなっていました。
現在は「yamory」を導入しており、「yamory」の脆弱性データベースで脆弱性情報をすぐに確認できるようになったため、これまでの手作業での情報収集から大幅に効率化されています。また、脆弱性情報収集先のサイトは英語であることが多いですが、日本語で記載されている点も助かっています。
2点目は、脆弱性の評価に関する課題です。脆弱性情報を収集した後には、自組織に影響を及ぼす脆弱性であるかどうかを評価し、High、Medium、Low 等に判定する作業があります。多忙なセキュリティ部署の定常業務に加えて、日々このような業務を行うことも大きな負担になっていました。
現在は、「yamory」のオートトリアージ機能(脆弱性ごとに流通している攻撃コードを収集することで、悪用される可能性の高い脆弱性をリスクの大きさに応じて自動で分類する機能)を活用し、手動で行っていた判定作業の一部を自動化でき、他の業務に時間を割くことができるようになりました。
最後に、脆弱性管理のプロセスに関する課題です。脆弱性管理に関するセキュリティ担当者と開発担当者間のやりとりや作業が、グループ内のプロダクト開発チーム分発生するため、膨大なコミュニケーションコストがかかっていました。事業や組織の拡大と共に開発チームも増え続けるなか、日々検出される脆弱性に対し、これまでの対応では限界があり、担当者の負荷を低減するために、できるだけ手作業を減らしていく必要がありました。
この課題に関しても、現在は「yamory」に情報を集約しています。グループ内のプロダクトのソフトウェア情報を「yamory」に登録し、脆弱性が検出されれば、Slackで通知、進捗については「yamory」の管理コンソールで確認が可能です。「yamory」に脆弱性情報が一元管理されることで、セキュリティ担当者、開発担当者ともに負担が軽減され、効率的かつ網羅的な脆弱性管理が可能になっています。
このような効率的な脆弱性管理を行った先には、未知なる脅威に備えていきたいという目的があります。そのために、Visionalグループ内の脆弱性情報の可視化の徹底と、全レイヤーの脆弱情報の一元管理を今後より一層進めていきたいと考えています。
メインセッション2 「SaaS活用・リスク管理の両立」
セミナーの後半では、シャドーIT、リスク評価、セキュリティ設定管理など、SaaS活用に関する様々な課題の中で、リスク評価を取り上げ、課題背景から課題解決に向けた取り組みについて粂川がお話ししました。
プロフィール
粂川 智秀/Kumekawa Tomohide
ビジョナル株式会社 ITプラットフォーム本部 セキュリティ室 室長
2000年、ADSL事業を手掛けるスタートアップに参画し、ブロードバンドインターネットの普及に務める。その後、SIer、データセンター運用事業者を経て、2008年よりソフトバンク株式会社でITサービスマネジメントに従事、モバイルインターネットの普及およびコンシューマ向け各種サービスの品質向上に務める。2016年、セキュリティ事業本部に社内異動、EDR製品のMSS事業の立ち上げおよび運用マネジメント、社内SOCの運用およびインシデントレスポンスチームのマネジメント、セキュリティシステム開発運用部門のマネジメントを経験。2019年、株式会社ビズリーチに入社。2020年2月、セキュリティ室室長に就任。現在は総勢17名のセキュリティチームを率いVisionalグループのセキュリティ向上に務める。
・SaaSリスク評価の課題背景
DX推進に伴い、SaaS活用が加速する一方で、障害によるデータ喪失やサイバー攻撃によるサービス停止、アカウント情報の漏洩による不正ログインといったリスクも増加しています。そのため、SaaSサービス及びSaaS事業者に対するリスク評価の必要性が高まっています。
Visionalグループは、SaaS利用企業として、リスク評価を実施する側でもあり、SaaS提供事業者として、お客様からリスク評価を受ける立場でもあります。SaaS利用企業・提供事業者、それぞれの側面から、課題と改善の取り組みをご紹介します。
・SaaS利用企業としての課題と改善の取り組み
SaaS利用企業としての課題の1点目として、網羅性の高いリスク評価を実施する必要があるものの、申請漏れ等が発生してしまうことが課題でした。これに対しては、各種申請ワークフローにセキュリティ部門が介入することで、申請手続きが漏れてしまっても把握、キャッチアップすることが可能になりました。
2点目は、利用申請者に余計な手間を掛けてしまい、スピード感のある事業成長の足かせになってしまう点です。この課題に対する改善として、社内窓口に「利用可否診断ツール」を設置し、申請の重複を排除するほか、リスクの低い利用形態については、申請を不要としています。(詳細はこちら)
3点目は、SaaS提供事業者様へ、過度な負担をかけたくないと考えています。セキュリティリスクを判断するためのやり取りにおいては、なるべく手戻りが無く、簡潔に回答可能なように、チェック項目を厳選、絞り込みました。しかし、多少チェック項目が少ない程度では、事業者様の負担を実際に軽減できているか、私たちで評価することができないため、成果が出たと言えるかどうかは難しいところです。
最後に、法改正や、世の中の事故事例に基づく新たな気付きなどを、セキュリティチェックシートへ適宜反映する必要があります。こちらは残念ながら改善策がなく、適宜頑張る他に思いつかない状況でした。
・SaaS提供事業者としての課題と改善の取り組み
続いてSaaS提供企業としての課題として、お客様から受け取ったセキュリティチェックシートは、複数の部門に跨り回答が必要な設問が多く、関係者を巻き込む社内調整に苦労していました。そこで、社内窓口として入力フォームを設け、お客様から回答依頼を受け取った営業担当者が窓口に投稿することで、ツールが自動で回答に必要な関係部門を一同に介し、回答の分担を可能にしました。また、回答ナレッジ集を社内公開することで、回答者を増やすことができています。
2点目、3点目については、セキュリティチェックシートの回答は、営業活動の一環でもあるため、比較的短納期になりがちで、またサービスの特性上、年度始まりからのご利用機会を多く頂戴するため、繁忙期が生じていました。これらは残念ながら改善が難しく、頑張る他に思いつかない状況でした。
これらの取り組みを通して、やはり内向きで小手先の改善だけでは、本質的な課題解決には至らないということに気付き、SaaSリスク評価に関する課題は、現代社会の課題であると認識させられました。
・SaaSリスク評価に関する課題解決に向けて
少し話が変わりますが、私たちが大切にしているグループミッションであるVisional Way「新しい可能性を、次々と。」の説明文中に、「時代がもたらす様々な課題を、次々と新しい可能性に変え、世の中の革新を支えていく。」という言葉があります。その言葉の通り、私たちの仲間が、クラウドリスク評価「Assured」を立ち上げ、SaaSリスク評価に関する課題解決に挑戦しています。(事業の立ち上げ背景は、ぜひこの記事をご参照ください。)
Visionalグループでも「Assured」を導入しており、SaaSリスク評価課題に関する改善が加速しています。
SaaS利用企業としての、SaaS提供事業者様へ過度な負担をかけたくないという課題は、一度「Assured」のチェックシートに回答いただければ他社にも流用可能になるため、事業者様にとってのご負担は軽減できると考えています。
チェック項目の適宜見直しについても、「Assured」がチェックシートを適宜更新してくれるので、安心して任せることができています。また、海外のSaaS提供事業者様に対するリスク評価にも対応しているため、外国語のニュアンスの難しさに苦しむこともなくなりました。
SaaS提供事業者として残っていた課題についても、一度回答したものの参照を許可することで回答が可能になるため、改善効果は非常に大きいと感じています。
SaaS提供事業者としては、他にも効果的と考えている取り組みがあります。それは、リスク評価を簡略化可能な事業者として認められることです。そのためには、SOC2やISMS、プライバシーマークの認証取得等に代表される、第三者によるお墨付きを得る必要があります。ただし、これらは一度取得したら終わりではなく、継続的な取り組みが必要なため、認証取得に際しては慎重に判断する必要があると考えています。
最後に
今回は、効率的な脆弱性管理およびSaaSリスク評価に関する課題と具体的な取り組みをご紹介しました。セキュリティ観点で事業を統制するのではなく、お客様の本質的な課題解決のため、事業部がやりたいことに全力で挑戦できる安心・安全な環境を提供し、事業と共存するための活動に取り組むセキュリティチームは、グループ全体から大きな信頼を得ています。その結果、グループ一体となったセキュリティ対策が実現できていると思います。
また、「yamory」「Assured」は、どちらも今回ご紹介した社内での課題から生まれた新規事業です。同様の課題を抱える企業様の本質的な課題解決に向けて、より一層サービスを磨き、社会全体のセキュリティレベル向上、DX推進に寄与することを目指しています。
脆弱性管理の効率化や、SaaS活用とリスク評価の両立に課題をお持ちの皆様に、今回のセミナーが少しでも参考になれば幸いです。
今後も「Visional Security Lounge」では、セキュリティという幅広い領域の中で、様々なテーマを取り上げ、参加者の皆様のセキュリティレベルの向上に繋がるような情報を共有していきたいと思います。
関連記事
この記事の執筆担当者
山崎 瑞季/Yamazaki Mizuki
神戸大学発達科学部卒業。2016年、大手旅行グループの広告代理店に新卒入社し、インバウンド観光プロモーションや地方創生に関わる業務を担当。その後、PR代理店にて営業、コンサルティングなどを経験し、2022年、ビジョナル株式会社へ入社。社長室 グループコミュニケーショングループにて、VisionalのグループPRや、社内外のコミュニケーションに関する様々な取り組みに携わる。
「VISIONAL ENGINEERING」Twitterアカウントは、こちら。
「All Visional」Twitterアカウントは、こちら。