2023年4月19日、日本でもビジネスを拡大しているイスラエルのサイバーセキュリティ企業 KELA(ケラ) が、グループ会社である ULTRA RED(ウルトラレッド)と共に、会場とオンラインのハイブリッドで「国内初ASM導入事例発表! 国境なきサイバー攻撃者の分析とサイバーセキュリティ対策の解剖」と題してハイブリッドセミナーを開催し、盛況のうちに終了した。ULTRA RED は、企業や組織の脆弱性を検知してシステムを保全するサイバーセキュリティソリューションを提供している。
このセミナーでは、「お客様事例」として、株式会社ジェーシービー システム企画部/システムリスク統括グループ主査の平野 勝啓氏が、JCB-CSIRTにおける ULTRA RED の利活用について解説した。その事例をここで紹介したい。
講演は、株式会社ジェーシービーのシステム企画部/システムリスク統括グループ主査である平野 勝啓氏が
「私たちは、自社システムの弱点を全て把握できているでしょうか」と問いかけることから始まった。情報資産の洗い出しが十分に出来ていたとしても、人的ミスや新たに発見される脆弱性等によっても状況は流動的に変化するため、自社が安全であると言い切ることは難しい。
クレジットカード業務を行う株式会社ジェーシービーは、会員数1億5,400万以上、加盟店数が約4,300万店に上るなど(2023年3月時点)、非常に多くの顧客情報を有している。そのため、情報セキュリティの向上は最重要課題の一つであり、2013年に組成したJCB-CSIRTを中心に、NIST CSFやFFIEC CAT(金融機関向けのサイバーセキュリティフレームワーク)等を参照しながら中長期的にサイバーセキュリティ管理態勢を構築・強化してきた。
JCB-CSIRTでは、自社の業務を支える数百以上の情報システムを守るため、システム管理部署への情報提供、脅威インテリジェンスの収集やインシデント発生時の対応支援等を行っている。それらの取り組みに加え、更なる実効性の向上のため、4月からULTRA REDを本格導入するに至った。
平野氏によれば、リスク管理担当者は常に不安を抱えている。前述したように、情報システムを取り巻くサイバーセキュリティリスクは常に変化するためだ。
従来のリスク管理手法において、セキュリティに関するチェックリストを用いたアプローチが一般的だ。しかし、こうしたアプローチはあくまで情報システムの一断面における状態が評価できるに過ぎず、情報システムが抱えるリスクの有無が常に把握できるわけではない。そうした課題に対応するために、情報システムを取り巻く脅威の有無を常時モニタリング出来るソリューションを求めていた。
また、脅威情報を入手したとしても、システムの運用体制によっては管理を委託する委託先事業者とコミュニケーションを取りながら影響を見極めていく必要があり、生じうる自社影響を迅速に見極められないケースも存在する。一刻一秒を争う緊急度が高い脆弱性が発生した場合に備え、自社システムの影響を迅速に調査可能なソリューションが必要だった。
そうした課題に対応できるソリューションとして、ULTRA REDに期待を寄せる。ULTRA REDを活用することで、これまでの資産管理ツールよりも更に踏み込んで、システムの設定ミスや特定脆弱性の該当有無を始めとした幅広い脅威を検知・判別することが可能だ。
平野氏は、ULTRA REDを用いて攻撃者と同じ目線に立って自社システムをモニタリングし続けることで、同社のサイバーセキュリティ管理態勢がより実効的に進化することを期待する。また、Log4Jのような世間を揺るがす脆弱性がふたたび発生しても、迅速に自社影響を判別し、経営に対する説明責任を果たすことが可能になることを見込んでいる。
ULTRA RED
https://www.ultrared.ai/jp/home
