Panoraysで
グループ会社全体のセキュリティリスクを一元管理
負担を抑えながら
大小さまざまなグループ企業を全体評価可能に
鴻池運輸株式会社様は国内・国際物流をはじめ、鉄鋼・食品などの製造業界向けや医療・空港などのサービス業界向けの請負サービスなど、多角的に事業を手掛ける1880年創業の総合物流サービス企業です。 サプライチェーン全体でのセキュリティリスク管理が取りざたされる昨今、国内外多数のグループ企業を持つ同社は、海外企業の対策に引き続き国内グループ企業の強化の推進に着手、サーベイツールとして複数の製品を検討したうえで「Panorays」を導入しました。大小様々なグループ企業のリスク管理を効果的かつ効率的に実施しています。
課題
取引先からのセキュリティ態勢に関する問合せへの対応に迫られていた
セキュリティへの意識が異なる大小様々なグループ会社に対する均一的な実態調査の方法に苦慮していた
効果
外部リスク、内部リスクを1つのソリューションで一元管理
- インターネット上に公開されているドメイン情報から脆弱性を評価する外部評価とアンケート機能を活用し、グループ会社のセキュリティ対策状況を評価する内部評価を1つのソリューションで一元管理できるようになった。
クリティカルなリスクの可視化と対処の実現
- 5段階評価のリスクスコアがダッシュボードで表現されることで、グループ会社の担当者にも視覚的にもわかりやすく危険度をを伝えやすく、迅速な理解と対処ができるようになっ た。
PDCAに沿った監視運用と経営陣への報告の実現
- 調査実施後に改善状況を定期観測し、可視化することで、経営陣にグループ会社のセキュリティリスクの状況推移を報告できるようになった。
セキュリティ対策の取り組み状況は?
- 佐藤氏
労働人口の減少に加えて、物流業界ならではの「2024年問題」への対応や、そのための自動化、IT・デジタルの活用など、課題は多くあります。
当社では、それらの課題解決を含めたICTによる「業務改善・改革」に取り組む中、さらに、業界において競争力をつけ、さらに成長するために、ITへの注力が必要ということから、2018年にはICT推進本部を発足しました。
最初の3年間は、クラウド移行、データセンターの極小化という、DXを推進するためのインフラ基盤の再構築に取り組みました。そこで課題となったのがセキュリティです。まずは、サイバーセキュリティにおける過不足を見直し、外部攻撃に備えた態勢整備を念頭に、ネットワークセキュリティ、認証管理、デバイスセキュリティなどを導入していきました。
Ponorays導入検討に至る経緯は?
- 佐藤氏
セキュリティ強化を推進してきた中、未遂も含め、海外のグループ会社でいくつかセキュリティに関わるインシデントが発生しました。発生要因としては、ITというよりは運用面の問題が大きかったものの、ITの視点からも再発防止策を検討することとなりました。そこで、「海外セキュリティ強化プロジェクト」を立ち上げ、鴻池運輸のセキュリティ管理が充分に行き届いていなかった海外30社を対象に、セキュリティ強化の施策を展開し、約3年をかけて導入し、運用を開始しました。
その頃、日本ではサプライチェーンリスクが注目され始め、我々も取引先からセキュリティ態勢に関する問い合わせを多くいただくようになりました。このプロジェクトにより、海外グループ会社のセキュリティ強化は実施できていましたので、国内グループ会社の強化を推進するにあたり、まず手始めに成熟度を図るためのサーベイツールを検討し始めたのがきっかけです。
Ponoraysの採用に至った経緯と決め手は?
- 佐藤氏
NTTデータ関西は、 NTTデータと共に我々のセキュリティ戦略を作ってきたという経緯があり、定期的に情報交換や月例会を行っています。「今こんなこと考えているんですけど」とお伝えすると、いくつかのご提案をいただけます。サーベイツールの検討を始めた当時も、NTTデータ関西からタイミングよく様々な情報提供があり、3つほどの製品を比較することができました。そのうちの1つがPanoraysです。
採用に至った決め手は3点あります。まず1つ目は、価格と機能のバランスです。機能的には他社製品と大きな違いはありませんでしたが、価格と機能のバランスが良いと感じました。2つ目は、ライセンス形態です。Panoraysには大きく分けて、継続的な監視用と年2回のスキャン用という 2種類のライセンスプランがあり、後者が我々の求めていた定期的な調査というニーズに合っていました。3つ目は、シンプルさです。他社のツールは細かい機能が多く、使い切れない懸念がありました。それに比べ、Panoraysは非常にシンプルでしたので、総合的に判断して、Panoraysを採用しました。- 戸松氏
Panoraysの強みはやはり、外部的、内部的の2つの側面から評価できる点だと思います。技術的な側面からの外部的評価と、アンケートによる管理面の内部的評価という両側面の可視化を1つのソリューションでカバーできる点は、大きな決め手となりました。
ライセンスの使い分けに関する目的や背景は?
- 佐藤氏
鴻池運輸本体では包括的かつ継続的なセキュリティ管理をしていますが、グループ会社のセキュリティに関しては、現状、継続的な監視は必要なく、PDCAサイクルに沿った運用を目的としているため、ワンタイムライセンス(年2回のスキャン)を割り当てています。使用例としては、4月に調査を実施し、半年後および1年後の改善状況を測定し、可視化します。結果については、経営陣に報告し、グループ会社としてのセキュリティ状況を示すといった使用方法となります。
- 戸松氏
継続的なモニタリングを行う通常ライセンスも購入しており、グループ会社の中の売上高上位10社は、継続的に見ていく必要があると判断し、ワンタイムライセンスではなく通常ライセンスを導入しています。
Panorays の導入効果は?
- 戸松氏
Panoraysの利用を開始してから、我々では検出が難しいリスクを検知し、その脆弱性を可視化することができていることに、効果を感じています。更には、リスクスコアがあることにより、「クリティカル」に分類される指摘事項はグループ会社の担当者にも危険度を伝えやすく、それにより担当者の理解と迅速な対処にも繋がっていると感じています。
グループ各社を包括的に管理できることも非常に良い点です。外部と内部の評価を1つのソリューションで可視化できる点や、 Panoraysのプラットフォーム上のコメント機能にて、グループ各社と直接やり取りをしながらクローズまで一元管理できる点が最大のメリットとして、効果を実感しています。
更には、ダークウェブの調査機能も大変助かっているポイントですし、脆弱性に関する指標についても、我々としては、KEV(Known Exploited Vulnerabilities)を意識すべきものと認識していますので、Panoraysの仕様がCVSSからKEVへ切り替わったことも嬉しく思っている点です。
今後の展望は?
- 佐藤氏
グループセキュリティコミュニティの発足やその他の活動と併せて、グループ全体の情報セキュリティの向上を図っていきたいと考えています。本来、グループ各社のセキュリティ状況を把握する為には、現地を訪問して対面でヒアリングすることが理想ですが、関係会社だけでも70社近くありますので、訪問とPanoraysの内部評価機能を併用して、負担を抑えつつ、全体の評価を行っていく予定です。
また、グループ会社以外の部分では、委託先評価も検討しています。委託先評価の必要性は、昨年4月の内部統制基準改定によって重要な課題として認識されましたので、既に社内のセキュリティ規程の中には定義されています。今後は、内部外部合わせた本格的な運用に向け、コミュニティなども活用しながら、整備を進めていく予定です。
セキュリティのトレンドに合わせて求められるソリューションは様々あります。NTTデータ関西には引き続き、月例会にとどまらずプロアクティブに提案いただきたいと思っています。NTTデータのグループという大きなバックボーンも活かして包括的な提案・支援をしてくれることを期待しています。
