「ネットワーク脆弱性診断」を導入することになった背景についてお聞かせください。

田沢：当社の取引先である自動車メーカーからの要請に対応するためです。自動車業界には情報セキュリティに関する認証制度として、ドイツ自動車工業会が策定した「TISAX（Trusted Information Security Assessment Exchange）」があります。また、欧米の自動車メーカーや自動車産業団体によって運営されている自動車部品や材料に関する品質を保証する認証制度に「IATF（International Automotive Task Force）」があり、これらの認証を取得することで取引先からの信頼度を高めることができます。

当社はかねてより自動車メーカーからTISAXやIATFの認証取得を求められていたのですが、その中の要求事項として脆弱性診断や標的型メール訓練を実施することが定められていることから、インターネットの入口部分であるネットワークについて脆弱性診断を実施することにしました。

フォスター電機のセキュリティ対策や管理体制、これまでの取り組みなどについてお聞かせください。

田沢：情報基盤課の中に情報セキュリティ担当グループがあり、2名の担当者を中心にさまざまなセキュリティ施策を実施しています。これまでも、ファイアウォールを中心とした入口／出口対策や、標的型攻撃など高度な脅威に備えたネットワークトラフィックの監視を行い、外部からの不正な侵入に備えてきました。実際、ファイアウォールのログを見ると、社内への侵入を試みる攻撃が増加傾向にあり、セキュリティ対策の重要性は従来以上に高まっています。

標的型攻撃の対策としては、年に1回、メールによる訓練を実施しています。国内外の全拠点、経営幹部も含め全従業員に対して標的型攻撃を模したメールを送信し、誤ってメールを開封してしまった従業員には注意喚起と教育コンテンツによるフォローアップを実施しています。訓練は過去に4回行っていますが、開封率は徐々に低下してきており、成果は着実に現れてきていると思います。

フォスター電機として守るべき情報、データとはどのようなものですか。

田沢：社内にあるすべてのデータです。中でも、設計情報や技術情報、お客様情報や従業員の個人情報などは特に重要ですね。これらの情報に関しては重要度でレベル分けし、それぞれに対して開示レベルを定義し従業員が不用意にデータにアクセスできないよう制限しています。

今回、フォスター電機のITインフラを把握しているTSOLより、セキュリティの課題を解決する手段として「ネットワーク脆弱性診断を活用したセキュリティ低減策」をご提案させていただきました。TSOL提案を採用した理由についてお聞かせください。

田沢：TSOLが非常に高い技術力を有していることが最大の理由です。TSOLとは2021年から3年以上にわたるお付き合いがあり、インフラ基盤運用／構築・導入／企画・提案、クライアント運用／更改、セキュリティ運用／強化・導入、クラウド基盤運用などさまざまな対応をお願いし、私たちの内部リソースの不足を補っていただいています。これらについて丁寧なサポートを受けたことで、TSOLのサービスレベルが高いことは常々実感していました。

今回も同じ流れで脆弱性診断について相談したところ、弊社の立場に寄り添っていろいろとご検討いただいた上で、最適のソリューションとしてグループ会社であるTISの「ネットワーク脆弱性診断サービス」を活用したセキュリティ低減策を提案いただきました。このネットワーク脆弱性診断サービスはメニューが豊富で、必要に合わせて柔軟にカスタマイズ（取捨選択）ができることから、脆弱性診断からペネトレーションテストへと段階的に発展できることを期待し採用しました。

「ネットワーク脆弱性診断サービス」とは？
セキュリティエンジニアが脆弱性について診断、その後の対策までアドバイスするTISの「脆弱性診断サービス」のメニューのひとつで、ネットワークの脆弱性を診断します。ツール診断に加え、手動診断も実施するハイブリッド診断、PCI DSSで要求されているASVによる定期的な外部ネットワークスキャン、手動での診断対象範囲を絞ったライト診断、AIを利用したAI診断、ホワイトハッカーによるペネトレーションテスト、脆弱性診断ツールの提供とサポートを行う内製化支援サービスなどのメニューがあります。
https://www.tis.jp/service_solution/security-diagnosis/menu/#tabitem_3

スケジュールと実施方法について教えてください。

田沢：2022年、2023年、2024年の3回に分けて、国内拠点とアジア・米国の海外拠点に対し診断を実施しました。診断の流れは、最初に対象を決め、次のステップで診断を実施してもらいます。1週間ほどで結果が出ますので、これを受けて発見された脆弱性の中から危険度が高いものについて対処。その後に再診断を実施し、危険箇所がクリアできたことを確認して終了です。

ネットワーク脆弱性診断サービスは、検査ツールによる自動診断と、診断員によるマニュアル診断がありますが、今回はすべて自動診断で対応できました。診断自体は1日で終了し、翌営業日には速報、近日中に報告書を受領しています。報告を受けて診断結果をもとに対処を実施しましたが、再診断を実施するまでに約3カ月を要しました。

具体的にどのような診断結果が出たのでしょうか。

田沢：詳しくはお答えできませんが、ファイアウォールだけでなく、VPNの接続機器やテレビ会議用の機器など、外部IPを持つ機器の診断も実施しています。そのうち、外部から管理コンソールへのログインが可能になっていた設定については、内部からのログインに限定するなどの対処を実施しました。

3回の診断について感想をお聞かせください。

田沢：ほぼ想定通りでした。診断結果は、危険度に応じて高・中・低の3段階に分類されるのですが、今回は危険度が高いものについて優先的に対処し、低いもの、軽微なものについては社内の関係者で議論し対処が必要と判断したものは対処。見送ると判断したものについては「何月何日にこういう理由で対処しないことを決めた」というエビデンスを残しました。

ネットワーク脆弱性診断を利用してみた感想はいかがですか。

田沢：診断自体はすべてTSOLにお任せでしたし、技術力も信頼していましたから、安心して診断を実施することができました。診断書のレポートも詳しく書かれており、社内のチェックから脆弱性への対処までスムーズに進みました。当社で実際に診断へ関わった者は情報セキュリティ担当グループの2名だけでしたが、ほとんど負担もかかりませんでした。

診断の実施によって、どのような効果が得られましたか。

田沢：セキュリティホールが見つかり、きちんと手当できたことが一番です。これにより、TISAXやIATFの要求レベルを満たし、取引先である自動車メーカーの信頼度獲得に寄与することができました。

診断の結果は経営層とも共有しているのでしょうか。

田沢：はい。社内では3カ月に1回、定期リスク危機管理委員会を開催し、ビジネスに関わる全般的なリスク評価を実施しています。その中で情報セキュリティの実施計画も共有しており、その参加メンバーには経営層も含まれています。ここでは脆弱性診断やメール訓練の結果を報告し、全社で共有しています。

今後についての計画はありますか。

田沢：脆弱性診断は1回実施して終わりというものではありません。新たな脅威は次々と出てきますので、これからも1年に1回、定期的に実施してセキュリティレベルを維持していきたいですね。

さらにもう一歩進んだところでは、ペネトレーションテストを実施することも検討していきます。具体的にどこまで実施するかはこれからの議論となりますが、サービスの内容を確認してみて、必要であれば評価を行ってみたいと思います。

最後に、TSOLに対する評価と将来への要望をお聞かせいただけますか。

田沢：今回の診断では、私たちが不慣れな中、さまざまな面からリードしていただき非常に助かりました。サービスの内容についても品質が高く、満足のいく結果を得ることができたと思います。新しいリスクが日々生まれる昨今、セキュリティ対策に終わりはありません。今後はTSOLの高度な知見やノウハウを活かし、「こういった対応を取ってみたらどうでしょう」といったアドバイスをいただけるとありがたいですね。