【イベントレポート】

クラウドサービス利用企業様向け


クラウド環境のリスク管理術
〜yamory/Assuredの活用企業の事例から学ぶ〜

株式会社アシュアードでは、2024年12月11日(水)に、脆弱性管理クラウド「yamory」・セキュリティ評価プラットフォーム「Assured」の合同開催によるご契約企業様限定セミナー「クラウド環境のリスク管理術〜yamory/Assuredの活用企業の事例から学ぶ〜」を渋谷オフィスにて実施しました。当日は、yamory/Assuredをご利用いただいている金融機関やIT企業を中心に、44名の方々に全国からお集まりいただき大盛況となりました。ご参加いただいた皆さまには心より御礼申し上げます

本レポートでは、当日の様子をダイジェストでお伝えしてまいります。
 

プログラム

  • 株式会社アシュアード 代表取締役社長 大森 厚志からの挨拶
  • セミナー「狙われる委託先。今、委託元企業に求められるサプライチェーンリスク管理とは」
    • Assuredセキュリティエキスパート 植木 雄哉
  • 活用企業登壇セミナー①「Visionalグループにおけるクラウドサービスチェックの運用について」
    • ビジョナル株式会社 ITプラットフォーム本部 セキュリティ室 岩原 正典
  •  活用企業登壇セミナー②「Visonalグループにおける脆弱性管理の運用について」
    • ビジョナル株式会社 ITプラットフォーム本部 セキュリティ室 峯川 康太
  • 懇親会 

 

株式会社アシュアード 代表取締役社長 大森からの挨拶

開会の挨拶として、Assuredの創業者であり株式会社アシュアード代表の大森から、ご挨拶させていただきました。Visionalグループとしても新たな挑戦であるサイバーセキュリティ領域での事業づくりにかける想いをお話しし、このように両事業のユーザーの皆様にお集まりいただけたことへの感謝の気持ちをお伝えしました

 アシュアード代表 大森からご挨拶 

 

「狙われる委託先。今、委託元企業に求められるサプライチェーンリスク管理とは」セキュリティエキスパート・植木

Assuredのセキュリティエキスパートとして、クラウドサービスのセキュリティ評価を担う植木からは、攻撃者目線を踏まえた「サプライチェーンリスク」や、委託元企業に求められる「サプライチェーンリスク管理」等について、事例を交えながらお話ししました。
ここでは一部抜粋してご紹介します

サイバー攻撃からどのように自社を守るかという点はよく話題になりますが、本セミナーでは攻撃者視点でのサプライチェーンリスクについてご説明しました。攻撃者も人間であり、攻撃においては合理性を追求しているため、サプライチェーンは魅力的な攻撃対象として映ります。大企業に比べセキュリティに割ける人員・コストが限定的で、セキュリティ管理水準が低い傾向にあるためです。また、複数の企業から業務委託を受けるケースが多く、一度の攻撃で複数の企業にダメージを与えることができるため、攻撃者にとって大きなメリットがあります。

さらに、サプライチェーンリスクへの対策が不十分な場合、被害者となるだけでなく、加害者となる可能性もあります。そのため、サプライチェーン全体で管理水準を高める必要があります。

 


サプライチェーン管理水準の向上に向けて、まずは自社の現在地の把握(重要度の特定、リスク評価)を行う必要があります。その上で、セキュリティにおける信用を可視化し、適切な情報公開を行いましょう。サプライチェーン全体で互助・共助の体制を築き、協力して取り組んでいくことが重要です。
Assured セキュリティエキスパートの植木によるセミナー

「Visionalグループにおけるクラウドサービスチェックの運用について」ビジョナル株式会社・岩原

続いて、アシュアードのグループ会社であり、yamory/Assuredの利用企業であるビジョナル株式会社  ITプラットフォーム本部 セキュリティ室 岩原が登壇し、VisionalグループにおけるAssuredの活用についてお話ししました。

セキュリティ室は、Visionalグループ各事業のセキュリティを一手に担う組織です。本パートでは、Visionalグループのクラウドサービス監査についてお伝えしました。

Assured導入前後のクラウドサービスチェックフロー

Assured導入以前は、従業員は利用したいクラウドサービスがあると、クラウドサービス事業者にチェックシートの記載依頼を実施。チェックシートの記載完了後に、クラウドサービス利用申請をだし、セキュリティ室がチェックするという運用でした。その中で、クラウドサービス事業者とのやり取りに時間、工数がかかったり、チェック項目の更新、見直しが後回しになったりといった課題がありました。

Assured導入後は、従業員がクラウドサービス利用申請をだし、セキュリティ室が内容確認、Assuredにクラウドサービスの調査依頼を出します。その後Assuredでリスク調査を実施し、それを閲覧、利用可否を出すというフローになっています。工数削減はもちろんですが、チェック項目についてもAssured側で適宜更新されるため、常に最新のチェック項目に基づいた調査が可能です。現在はクラウドサービス利用申請の約95%はAssuredで調査を行っています。

その他、詳細な申請フローや利用可否の判断、クラウドサービスの定期棚卸しや現状の課題等についてお話ししました。

ビジョナル株式会社 ITプラットフォーム本部 セキュリティ室 岩原

「Visonalグループにおける脆弱性管理の運用について」ビジョナル株式会社・峯川

続いて、同じくビジョナル株式会社  ITプラットフォーム本部 セキュリティ室 峯川が登壇し、Visionalグループにおけるyamoryの活用についてお話ししました。

Visionalグループでは、①各プロダクトのアプリライブラリの脆弱性管理 ②IT資産の脆弱性管理 ③yamoryに集約している情報を取得するAPI(yamory API)を主に利用しています。GitHub連携・パイプラインへの組み込みなど開発チームへのyamoryの導入コストが低く、セキュリティ室から導入のお願いがしやすい点は大きなポイントです。

yamory導入前は、アプリライブラリやIT資産の台帳作成・脆弱性情報の収集・影響度判断・リスク判定をすべてセキュリティ室で行っていましたが、yamory導入後は台帳管理、脆弱性検出、対応を効率よく行うことができるようになりました。また、yamory APIを利用することで、検出されている脆弱性情報の活用がしやすくなり、日々行っている公開脆弱性情報のVisionalグループへの影響度判定の自動化が可能になりました。

さらに、脆弱性管理の運用における課題として、運用の形骸化や不適切な運用、ユーザーアカウント管理を挙げ、持続可能な脆弱性管理運用の構築、業務移管と自動化など、Visionalグループにおけるそれぞれの解決方法をお伝えしました。
 

ビジョナル株式会社 ITプラットフォーム本部 セキュリティ室 峯川

懇親会

セミナー後には、懇親会を実施しました。
yamory/Assuredそれぞれのユーザーの皆さまで、同じ業界・職種ならではのお悩みや各社におけるyamory/Assuredの効果的な活用方法などを共有しながら、ここでしかできないお話しなど、大変盛り上がっていました。

アンケートでは

  • 他の金融機関の運用を聞く機会はなかなかないので、とても良い機会だった
  • 実際の活用事例や課題感のお話から、弊社の状態に照らし合わせて課題への向き合い方や解決方針を考えることができました。セキュリティにコストを払うことへの経営陣への説得と理解に努めることが重要であることを意識していきたいです。
  • 当社が利用しているyamory部分については、Visionalグループの課題感に共感する部分も多く、対策も参考になりました。
  • 他社の情シスの方が、脆弱性管理運用等でどのような課題を感じられているのか把握でき有意義な時間でした。

等の感想をいただきました。

また、yamory/Assured各サービスへのご要望やご期待のお言葉もいただきました。お客様からのご意見や、このようなリアルな場でのコミュニケーションを大切にしながら、これからも価値あるサービスを作り続けていきたいと思います。

今回、アシュアード社として初めての合同セミナーは大盛況で終えることができました。ご参加いただいた皆さまに改めて御礼申し上げます。残念ながらご参加いただけなかった方も、次回以降の開催にぜひご期待いただけますと幸いです。

今後もAssuredでは、社会全体のセキュリティ向上に貢献できるような情報発信を行ってまいります。