【お客さま事例】イオンペット株式会社様 ～「セキュリティ対策にゴールはない」さらなる対策強化に向け、脆弱性診断とは異なるアプローチとしてASMツールを導入～

さらなるセキュリティ対策強化へ。課題は、攻撃者に近い視点から定期的に脆弱性を可視化すること

1. 企業紹介

　　―　まずは、御社のご紹介からお願いします。

平井様：私たちはイオングループの一員として、ペット用品販売店の運営、ペット関連商品のECサイトでの販売や、動物病院やグルーミングサロン、ペットホテルといった施設の運営など多角的な事業を展開する企業です。

ペットに関わるあらゆるニーズに質の高いサービスや商品でお応えし、ペットとペットオーナー様の暮らしを支え「動物と人間の幸せな共生社会」を実現することを目指しています。

執行役員　情報システム本部長　平井丈裕様

2. 導入前の状況と課題

　　―　「MS&ADサイバーリスクファインダー」導入以前の、セキュリティ対策にまつわる取り組みの状況を教えてください。

沢登様：当社のITインフラ領域を取り扱う情報システム本部 ITサポート部 インフラチームにおいて、情報システム全体のセキュリティ体制の維持・管理を担っています。

事業会社としてはもちろん、イオングループの一員としても高いレベルのセキュリティ対策が求められており、グループの基準やルールに則ったリスク評価や教育をはじめとしたさまざまな施策を実施してきました。

情報システム本部　ITサポート部　沢登康弘様

　　―　どのような背景からASMツールの導入を検討されたのでしょうか？

平井様：当時「IT資産のセキュリティ状況の可視化」という観点で行っていた施策として、Webサイトやプラットフォームなどに対する脆弱性診断があります。イオングループとしての対策基準は満たしているものの、セキュリティには「ここまでやれば大丈夫」というゴールはありませんから、さらなる対策強化に向けて他に何ができるかを検討していました。

検討において特に重視したのは、脆弱性診断とは異なるアプローチをすることです。一時的に診断を実施するのではなく、定期的に状況を可視化できる環境を構築すること、よりハッカーの視点に近い非定型的なリサーチに基づいてリスクを把握することが必要だと考えました。

これらの観点と、外部の方のお力を借りてできる限りコストや工数をかけずに対策を実施したいとの考えから着目したのがASMツールです。

リスクとその推移、行うべき対策が専門家でなくても一目で分かる、質の高いレポートが導入の決め手

3. 選定プロセスと導入の決め手

　　―　「MS&ADサイバーリスクファインダー」を導入いただいた決め手はどのような点でしょうか。

沢登様：最初に、サンプルのレポートをもとにサービスについてご説明いただきました。魅力に感じたのは、レポートが大変見やすく、「リスクがあるか」「前月と比べて変化はあるか」「自分たちが次に何をしなければいけないのか」というポイントが分かりやすい点です。

平井様：私たちはあくまでも事業会社の中の一情報システム部門であり、すべての担当者がセキュリティのスペシャリストというわけではありません。そうした中で、専門的な内容を並べ立てることなく分かりやすくまとめられた資料があることは、社内で情報共有する際の大きなメリットになります。

担当者が見て理解でき、さらにそれをもとに経営層に対してしっかりと説明し理解を得ることもできるのではないかと期待を感じました。

沢登様：そうした質の高いアウトプットがありながら踏み出しやすい料金設定であったこともあり、検証期間を設けることなく導入を決めました。MS＆ADサイバーリスクファインダーはドメイン単位で診断をするため、特に守るべき情報は何かを考え、お客様の大切な個人情報をお預かりしているECサイトのドメイン診断からまずは運用を開始しました。

ご評価いただいたMS＆ADサイバーリスクファインダーの診断レポート
（写真はサンプルレポートです。イオンペット株式会社様の診断レポートではありません）

時間や業務負担をかけることなく、セキュリティ対策強化が実現

4. 導入による成果

　　―　「MS&ADサイバーリスクファインダー」導入による成果や、ご評価についてお聞かせください。

平井様：セキュリティ状況を定期的に可視化、社内報告できるような仕組みを築けたことが一つの成果だと捉えています。

導入から半年ほどが経つ現時点では、急ぎ対応しなければならないリスクは検出されておらず、それを確認できたことがまずは安心感に繋がりました。

また毎月の診断レポートのおかげで数値を定点観測でき、変化があった場合には「それが新たな脆弱性なのか、新たに登場した攻撃手法によるのか、もしくは私たちがECサイトに手を加えたことによるのか」まで分かるため万が一今度リスクが検出されても取るべき対応も考えやすくなるだろうと感じます。

沢登様：基本的にこちらが何か作業をしなくとも毎月レポートが発行されるため、時間をかけることなく対策を強化できる点がありがたいですね。

またレポートについて問い合わせれば、より詳細な資料を提示してくださったり、分からない点について専門家の方がオンライン面談でアドバイスしてくださったり、さらにセミナーなどでセキュリティ業界全体のトレンドについて情報提供をいただけたりと、MS＆ADインターリスク総研さんの手厚いサポートに心強さを感じます。

IT業界やセキュリティを取り巻く状況が目まぐるしく変わる中、自分たちで情報を漏らさずキャッチアップするのはなかなか難しく、また展示会などで各社の取り組みのようなピンポイントの情報は得られたとしても、業界全体の傾向までは摑みきれません。
MS＆ADインターリスク総研さんからいただく広い視野で見た情報が、「当社が今やらなければいけないことは何か」を考えるきっかけになっていることに感謝しています。

5. 今後の展望

　　―　最後に今後の展望と、その中で当社に期待されることがあればお聞かせください。

沢登様：まずはECサイトから対策強化を始めましたが、私たちが守るべき情報は、ペットオーナー様の情報や動物病院にいらっしゃるペットの情報、さらに経営にまつわる情報まで多岐にわたります。

そのことをふまえ、より幅広くIT資産を守るために、またイオングループの一員として求められるセキュリティレベルの高まりに対応するために、必要な対策の検討を続けていかなければならないと考えています。今後は診断対象のドメインを増やすことも検討しています。

平井様：「すでにさまざまな対策をしているから十分」ではなく、情報を守り事業を継続していくための手段として、ベストとは言えなくともベターな選択肢を検討しさらなる対策を講じていくこと、また日々変化する脆弱性や攻撃手法への対応として何が必要なのかを判断していくことが重要ですね。
そうした検討と対策を進めていくにあたっては、当社のセキュリティ状況を多角的な視点から見た情報を一元化して提供いただければ判断がしやすくありがたいなと。そういったサービスが増えていけば嬉しいなと思います。

ASMツールを詳しく知りたい「MS&ADサイバーリスクファインダー」

DX進展によるクラウド利用の拡大に加え、コロナ禍によるテレワーク拡大で増加するサイバーリスク。しかしながら、自社全てのIT資産を人手を介し把握・管理するのは容易ではない現実。ASM（Attack Surface Management）サービス「サイバーリスクファインダー」は外部（インターネット）に公開されているサーバやネットワーク機器の情報を収集・分析し、不正侵入経路となりうるポイントの把握とモニタリングを実行できます。

• サービスの詳細はここをクリック