TIS Solution Link

導入事例

ホーム 導入事例 フォスター電機株式会社

ネットワーク脆弱性診断

フォスター電機株式会社 様

取引先からの信頼と安心に応えるべく、ネットワーク脆弱性診断を実施
診断結果への適切な対応により、セキュリティリスクの低減が実現!

グローバルコーポレートサポート本部
IT/DX推進部 部長
田沢 純 氏

「音のスペシャリスト」として、スピーカやスピーカシステムなど音響機器の製造・販売を手がけるフォスター電機株式会社。売上高の約7割が車載向けの音響製品で占める同社は、取引先の自動車メーカーから業界向けの情報セキュリティ基準や認証制度への対応を求められていました。そこで同社はTISソリューションリンク(以下、TSOL)が提案する「ネットワーク脆弱性診断を活用したセキュリティ低減策」を採用し、国内外の拠点についてセキュリティ診断を実施。その結果に基づき対策を行うことで、セキュリティリスクの低減が実現しました。今回は、導入の経緯や成果について、同社 グローバルコーポレートサポート本部 IT/DX推進部 部長の田沢純氏にお話を伺います。

課題取引先の自動車メーカーから認証制度への対応が要請される

「ネットワーク脆弱性診断」を導入することになった背景についてお聞かせください。

田沢:当社の取引先である自動車メーカーからの要請に対応するためです。自動車業界には情報セキュリティに関する認証制度として、ドイツ自動車工業会が策定した「TISAX(Trusted Information Security Assessment Exchange)」があります。また、欧米の自動車メーカーや自動車産業団体によって運営されている自動車部品や材料に関する品質を保証する認証制度に「IATF(International Automotive Task Force)」があり、これらの認証を取得することで取引先からの信頼度を高めることができます。

当社はかねてより自動車メーカーからTISAXやIATFの認証取得を求められていたのですが、その中の要求事項として脆弱性診断や標的型メール訓練を実施することが定められていることから、インターネットの入口部分であるネットワークについて脆弱性診断を実施することにしました。

フォスター電機のセキュリティ対策や管理体制、これまでの取り組みなどについてお聞かせください。

田沢:情報基盤課の中に情報セキュリティ担当グループがあり、2名の担当者を中心にさまざまなセキュリティ施策を実施しています。これまでも、ファイアウォールを中心とした入口/出口対策や、標的型攻撃など高度な脅威に備えたネットワークトラフィックの監視を行い、外部からの不正な侵入に備えてきました。実際、ファイアウォールのログを見ると、社内への侵入を試みる攻撃が増加傾向にあり、セキュリティ対策の重要性は従来以上に高まっています。


標的型攻撃の対策としては、年に1回、メールによる訓練を実施しています。国内外の全拠点、経営幹部も含め全従業員に対して標的型攻撃を模したメールを送信し、誤ってメールを開封してしまった従業員には注意喚起と教育コンテンツによるフォローアップを実施しています。訓練は過去に4回行っていますが、開封率は徐々に低下してきており、成果は着実に現れてきていると思います。

フォスター電機として守るべき情報、データとはどのようなものですか。

田沢:社内にあるすべてのデータです。中でも、設計情報や技術情報、お客様情報や従業員の個人情報などは特に重要ですね。これらの情報に関しては重要度でレベル分けし、それぞれに対して開示レベルを定義し従業員が不用意にデータにアクセスできないよう制限しています。

導入の決め手TSOLの高いサービスレベルに加え、豊富なメニューと柔軟性を評価

今回、フォスター電機のITインフラを把握しているTSOLより、セキュリティの課題を解決する手段として「ネットワーク脆弱性診断を活用したセキュリティ低減策」をご提案させていただきました。TSOL提案を採用した理由についてお聞かせください。

田沢:TSOLが非常に高い技術力を有していることが最大の理由です。TSOLとは2021年から3年以上にわたるお付き合いがあり、インフラ基盤運用/構築・導入/企画・提案、クライアント運用/更改、セキュリティ運用/強化・導入、クラウド基盤運用などさまざまな対応をお願いし、私たちの内部リソースの不足を補っていただいています。これらについて丁寧なサポートを受けたことで、TSOLのサービスレベルが高いことは常々実感していました。

今回も同じ流れで脆弱性診断について相談したところ、弊社の立場に寄り添っていろいろとご検討いただいた上で、最適のソリューションとしてグループ会社であるTISの「ネットワーク脆弱性診断サービス」を活用したセキュリティ低減策を提案いただきました。このネットワーク脆弱性診断サービスはメニューが豊富で、必要に合わせて柔軟にカスタマイズ(取捨選択)ができることから、脆弱性診断からペネトレーションテストへと段階的に発展できることを期待し採用しました。


「ネットワーク脆弱性診断サービス」とは?
セキュリティエンジニアが脆弱性について診断、その後の対策までアドバイスするTISの「脆弱性診断サービス」のメニューのひとつで、ネットワークの脆弱性を診断します。ツール診断に加え、手動診断も実施するハイブリッド診断、PCI DSSで要求されているASVによる定期的な外部ネットワークスキャン、手動での診断対象範囲を絞ったライト診断、AIを利用したAI診断、ホワイトハッカーによるペネトレーションテスト、脆弱性診断ツールの提供とサポートを行う内製化支援サービスなどのメニューがあります。
https://www.tis.jp/service_solution/security-diagnosis/menu/#tabitem_3

スケジュールと実施方法について教えてください。

田沢:2022年、2023年、2024年の3回に分けて、国内拠点とアジア・米国の海外拠点に対し診断を実施しました。診断の流れは、最初に対象を決め、次のステップで診断を実施してもらいます。1週間ほどで結果が出ますので、これを受けて発見された脆弱性の中から危険度が高いものについて対処。その後に再診断を実施し、危険箇所がクリアできたことを確認して終了です。


ネットワーク脆弱性診断サービスは、検査ツールによる自動診断と、診断員によるマニュアル診断がありますが、今回はすべて自動診断で対応できました。診断自体は1日で終了し、翌営業日には速報、近日中に報告書を受領しています。報告を受けて診断結果をもとに対処を実施しましたが、再診断を実施するまでに約3カ月を要しました。

具体的にどのような診断結果が出たのでしょうか。

田沢:詳しくはお答えできませんが、ファイアウォールだけでなく、VPNの接続機器やテレビ会議用の機器など、外部IPを持つ機器の診断も実施しています。そのうち、外部から管理コンソールへのログインが可能になっていた設定については、内部からのログインに限定するなどの対処を実施しました。

3回の診断について感想をお聞かせください。

田沢:ほぼ想定通りでした。診断結果は、危険度に応じて高・中・低の3段階に分類されるのですが、今回は危険度が高いものについて優先的に対処し、低いもの、軽微なものについては社内の関係者で議論し対処が必要と判断したものは対処。見送ると判断したものについては「何月何日にこういう理由で対処しないことを決めた」というエビデンスを残しました。

効果と展望セキュリティの強化は実現も、今後も定期的に脆弱性診断の実施が必要

ネットワーク脆弱性診断を利用してみた感想はいかがですか。

田沢:診断自体はすべてTSOLにお任せでしたし、技術力も信頼していましたから、安心して診断を実施することができました。診断書のレポートも詳しく書かれており、社内のチェックから脆弱性への対処までスムーズに進みました。当社で実際に診断へ関わった者は情報セキュリティ担当グループの2名だけでしたが、ほとんど負担もかかりませんでした。

診断の実施によって、どのような効果が得られましたか。

田沢:セキュリティホールが見つかり、きちんと手当できたことが一番です。これにより、TISAXやIATFの要求レベルを満たし、取引先である自動車メーカーの信頼度獲得に寄与することができました。

診断の結果は経営層とも共有しているのでしょうか。

田沢:はい。社内では3カ月に1回、定期リスク危機管理委員会を開催し、ビジネスに関わる全般的なリスク評価を実施しています。その中で情報セキュリティの実施計画も共有しており、その参加メンバーには経営層も含まれています。ここでは脆弱性診断やメール訓練の結果を報告し、全社で共有しています。

今後についての計画はありますか。

田沢:脆弱性診断は1回実施して終わりというものではありません。新たな脅威は次々と出てきますので、これからも1年に1回、定期的に実施してセキュリティレベルを維持していきたいですね。


さらにもう一歩進んだところでは、ペネトレーションテストを実施することも検討していきます。具体的にどこまで実施するかはこれからの議論となりますが、サービスの内容を確認してみて、必要であれば評価を行ってみたいと思います。

最後に、TSOLに対する評価と将来への要望をお聞かせいただけますか。

田沢:今回の診断では、私たちが不慣れな中、さまざまな面からリードしていただき非常に助かりました。サービスの内容についても品質が高く、満足のいく結果を得ることができたと思います。新しいリスクが日々生まれる昨今、セキュリティ対策に終わりはありません。今後はTSOLの高度な知見やノウハウを活かし、「こういった対応を取ってみたらどうでしょう」といったアドバイスをいただけるとありがたいですね。

お問い合わせ
産業・公共ビジネス第2本部 産業基盤第1部
ind-infra-dept.1@tsolweb.co.jp

corporate_fareフォスター電機株式会社

1949年に信濃音響研究所として創立、スピーカの製造を開始する。1959年に現在の社名に改称。主たる事業は車載用スピーカ・スピーカシステム、オーディオ用スピーカ・スピーカシステム、ヘッドホン/ヘッドセット、小型音響部品などの製造・販売で、グローバルにビジネスを展開している。近年は成長戦略の一環として車載機器に注力しており、車載オーディオ用スピーカについては世界でもトップクラスのシェアを誇る。

導入事例

今日まで様々なお客様に最適な技術と体制をご提供してきた、その一部をご紹介します。

導入事例を見る

  • Case.1クラウド導入事例

    お客様のニーズに合わせたクラウド技術をご提供

    詳しく見る

  • Case.2業務システム運用

    経営に直結する複数の業務システムの運用管理を一括サポート

    詳しく見る

ネットワーク脆弱性診断

診断結果への適切な対応により、セキュリティリスクの低減が実現!

詳しく見る

仮想基盤構築

基盤構築に強いエンジニアが仮想化技術によるサーバ環境を構築

詳しく見る

クラウド導入事例

クラウド技術を駆使した導入事例のご紹介

詳しく見る

ネットワーク管理

大手企業グループの全国数百箇所のWAN回線および関連システムの集中管理

詳しく見る

グローバル対応

大手グローバル企業へのバイリンガル要員によるNW/サーバ/関連システムの運用・保守・設計・構築・提案

詳しく見る

業務システム運用

経営に直結する複数の業務システムの運用管理を一括サポート

詳しく見る

人工衛星管制システム

日本の宇宙開発の初期段階から参画し高信頼性のシステムに成功

詳しく見る

組込システム開発

組込みソフトとGPS受信機の長年の開発実績で、研究開発から製品開発まで幅広いステージでの開発支援を実現

詳しく見る

導入事例を見る

RECRUITMENT

信頼される技術、信頼される社員、信頼される会社を目指し、
ITプロフェッショナル人材の育成に取り組んでいます。

お問い合わせ 資料
ダウンロード