【お客さま事例】深幸薬業様「『MS&ADサイバーリスクファインダー』は“かかりつけ医”のような存在」
2025.5.30
「『MS&ADサイバーリスクファインダー』は“かかりつけ医”のような存在」。
こう話すのは、セキュリティリスク診断サービス「MS&ADサイバーリスクファインダー」を導入して、自社のサイバーセキュリティ対策に活用している、医薬品原料の商社「深幸薬業株式会社」様(大阪府)です。
従業員17人の同社は、どんな課題を抱えていて、このサービスをどう活用しているのか?
同社の管理部長を務める岡本武裕様にお話を伺いました。
流れ
- “何でも屋”として、ITやサイバーセキュリティも担当する
- 外部の目で、自社IT資産のどこに“隙”があるのか見つける
- 非常にわかりやすいセキュリティ診断のフィードバック
- 導入していなければ、絶対に気づけなかった
- 気兼ねなく何でも聞けるオンライン相談
- 「MS&ADサイバーリスクファインダー」は“かかりつけ医”のような存在
“何でも屋”として、ITやサイバーセキュリティも担当する
ーー深幸薬業様の事業内容を教えてください。
岡本)当社は、ジェネリック医薬品原料の商社で、ジェネリック医薬品メーカーが主な販売先です。役員を除いた従業員数は17人で、いわゆる中小企業です。
ーー管理部長を務めているとのことですが、どのような業務を管轄しているのですか?
“何でも屋”です(笑)。営業や医薬品原料の安定供給といった“本業”をいかにスムーズに遂行できる環境を整備するかが、私たちの責務だと思っています。インフラの不具合とか社内レクリエーションの段取りとか、本業以外“何でも”ですね。その中に、ITやサイバーセキュリティも含まれている、そんなイメージです。
深幸薬業株式会社 管理部 岡本武裕部長
外部の目で、自社IT資産のどこに“隙”があるのか見つける
ーーサイバーセキュリティに関しては、どのような課題を感じていたのですか?
岡本)私が今の立場に就いてから、ITやサイバーセキュリティに関しては全くの素人ながら、いろいろ情報収集をしました。その中で、保険会社やITベンダーからサイバー保険の提案を受けたこともあるのですが、当社のような中小企業だと、サイバー攻撃を受けてシステムが止まることによる直接的な被害もさることながら、それよりも、大事なお客さまに関する情報が流出してしまったら、信用を失って商売そのものができなくなってしまうと考えています。ですので、その対策にはそれなりの投資をする必要があると考えていました。
それで、可能な限りのセキュリティ対策は講じたつもりです。当社がハッカーから狙われるかどうかはわかりませんが、従業員のちょっとした不注意で情報が流出してしまう恐れもあるので、当社が保有するIT資産のどこに“隙”があるのか、外部の目で見てもらうのも1つだろうなと思い、ASM※ツールのような脆弱性を見つけることのできるサービスを探し始めました。
※ASM:アタックサーフェスマネジメント。経済産業省が2023年5月に「サイバー攻撃から自社のIT資産を守るための手法として注目されている」として、導入ガイダンスをまとめていて、その中で「組織の外部(インターネット)からアクセス可能な IT 資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」と定義されている。
非常にわかりやすいセキュリティ診断のフィードバック
ーーASMツールは、様々なITベンダーがサービスを提供しています。なぜ、「MS&ADサイバーリスクファインダー」を選んでいただけたのでしょうか?
岡本)過去にあるセキュリティ診断の会社の話を聞いてみたのですが、中小企業にとっては結構な料金で、「いきなりそこまでやってもなぁ」と思っていたんです。そんな中、たまたま「MS&ADサイバーリスクファインダー」を紹介してもらう機会があって、リーズナブルな料金設定だと感じました。
「MS&ADサイバーリスクファインダー」は、月1回のセキュリティリスク診断に加えて、契約後は追加の料金がかからず回数に制限なくオンライン相談が利用でき、実際にセキュリティ対策を進めるうえでの疑問点などを相談できるとのことでした。その内容を聞いて、この料金なら当社にはいいんじゃないかなと思いました。
また、実際に導入する前には、無料トライアルとして、当社の一部のIT資産を対象にセキュリティ診断を実施してもらい、その結果についてオンライン相談で説明を受けました。その際のフィードバックが非常にわかりやすくて、すべてのIT資産を対象に診断した方がいいなという感触を得ることができたので、導入することにしました。
導入していなければ、絶対に気づけなかった
ーー導入してから、「MS&ADサイバーリスクファインダー」をどのように活用していますか?
岡本)月1回のセキュリティ診断と、オンライン相談を活用して、当社のセキュリティ環境の向上を目指しています。
今のところセキュリティ診断の結果、深刻なリスクは見つかっていないのですが、軽微なものもレポートで報告を受けるんですね。私の立場としては、軽微なものでもリスクはないに越したことはないので、オンライン相談でどのように対応すべきかアドバイスをもらっています。
その中では、実際にインターネットにアクセスする設定で不十分な点が見つかり、設定を行ったWEBサーバーを委託している運営業者に確認したら、必要な作業が漏れていたことが分かったこともありました。その時は、「MS&ADサイバーリスクファインダー」を導入していなければ、絶対に気づくことができなかっただろうなと感じました。
気兼ねなく何でも聞けるオンライン相談
ーーオンライン相談では、どのようなことを相談されているのでしょうか?
岡本)基本的にはレポートに関してですが、その時々で、DXやセキュリティに関して考えていることについて相談することもありますね。「こんなことを考えているのですが、専門家から見てどう思われますか?気を付けておくべき点はありますか?」というような感じで相談させてもらっています。
難しい専門用語を使わずに、ていねいに説明していただけるので、気兼ねなくなんでも聞いてしまっています。また、こちらが相談したことに対して、ベンダーとして売りたいサービスの導入を勧められることはなく、専門家としての第三者的なアドバイスだけが得られるので、その点も安心感があります。当社の立場で耳を傾けて、提案していただけていて、すごく頼りにさせていただいています。
「MS&ADサイバーリスクファインダー」は“かかりつけ医”のような存在
ーー最後に、「MS&ADサイバーリスクファインダー」は、深幸薬業様にとって、どのような存在だと感じていますか?
岡本)ITやサイバーセキュリティに関する“かかりつけ医”のような存在です。当社にとっての主治医と言ってもいいかもしれません。
サイバーセキュリティの世界は、結局イタチごっこですから、新しい攻撃手法が出てきたら、それに対応できるように、自分自身でも情報を集めていきたいと思いますが、「MS&ADサイバーリスクファインダー」も活用して、アンテナを高くずっと張り続けていこうと思っています。
ASMツールを詳しく知りたい「MS&ADサイバーリスクファインダー」
DX進展によるクラウド利用の拡大に加え、コロナ禍によるテレワーク拡大で増加するサイバーリスク。しかしながら、自社全てのIT資産を人手を介し把握・管理するのは容易ではない現実。ASM(Attack Surface Management)サービス「サイバーリスクファインダー」は外部(インターネット)に公開されているサーバやネットワーク機器の情報を収集・分析し、不正侵入経路となりうるポイントの把握とモニタリングを実行できます。
