限られた人数でも
効率よく確実に対処できる
こうして日本精工は20年6月にSecOpsの導入を決定。4カ月ほどの開発期間を経て、同年10月にはSecOpsのうち、脆弱性管理のためのソリューションであるVulnerability Response(以下、VR)を、12月にはインシデント対応のためのSecurity Incident Response(以下、SIR)を、それぞれ運用開始した。
ちなみに同社は、システムに潜む脆弱性を検知する他社のソリューションも、ほぼ同時期に導入している。このソリューションが脆弱性を検知すると、すぐさまVRに脆弱性情報が届き、パッチの適用やコード修正などを担当するIT部門スタッフにVRがアラートを発信するという仕組みを構築するためだ。このように、他社のソリューションと柔軟に連携できるのもServiceNowならではのメリットであり、加澤氏は「SecOpsを選定した大きな決め手の一つでした」と明かす。
SecOpsの導入によって、日本精工のセキュリティ運用体制は飛躍的に合理化した。
情報セキュリティ推進室は、導入前から脆弱性やセキュリティインシデントの報告を受けた場合の対応手順やルールなどを決めていたが、「形式的なルールは整っていたものの、日々増加する対策に対して、実務が追いついていないというのが実態でした」と加澤氏は振り返る。
国内外の拠点からのセキュリティインシデント報告はセキュリティ製品からのアラート通知や緊急の電話連絡やメールなどで24時間、ひっきりなしに届いてくる。それを約5人のスタッフが確認し、担当するIT部門に処置を依頼するという流れであったが、限られた人員で年々増え続ける報告をどのようにさばいていくべきかが課題であった。
また、「処置がどこまで進んでいるか、解決したのかどうかを1件1件確認するのも大変な作業でした。フォローアップが不十分で、うっかり放置したままにしてしまうと、致命的な被害につながる可能性もあります。抜け漏れをなくすため、スプレッドシートで作った管理台帳で全インシデントを一元管理しようと考えたこともありますが、とてもこなせる量ではありません」と加澤氏は語る。
そうした実務上の課題が、SIRの導入によって一気に解決した。このソリューションでは、セキュリティ製品や監視ベンダーから通知されるセキュリティインシデントをSIRに取り込みから発令されるセキュリティインシデントをSIRに取り込み、自動的にインシデントごとの管理番号が付与される。セキュリティ運用担当者は、検知されたインシデントの内容を確認し、その管理番号を伝えてIT担当者に処置を依頼。その後の進捗についても、管理番号に基づいて状況を追い掛けられるので、処置の抜け漏れがなくなる。
しかもSIRは、ビジネスへの影響度に基づいて対処の優先順位付けを行ってくれるので、限られた人的リソースでも、効率よく効果的な対応ができる。
「確認のために何度もメールをやり取りする必要がなくなり、インシデントごとの状況把握も容易になりました。セキュリティ運用の業務効率は格段に上がっています」と加澤氏は評価する。
ガバナンスにまつわる
リスク管理強化も視野に入れる
具体的には、日本国内で検知された低・中リスクのインシデントを解決するまでの時間が導入前に比べて約2分の1に短縮されたという。
ICT本部
情報セキュリティ推進室
曹 嘉迪 氏
また、SecOpsでは、脆弱性やインシデントへの対応履歴がナレッジとして蓄積され、業務の標準化に役立てることができる。その結果、「難度の低いインシデントは経験の少ない担当者でも対応できるようになり、外部委託先にも回せるので、高いスキルを持ったセキュリティ運用担当者の業務が約80%削減されました。その分、脆弱性やインシデントの詳細な分析といった高度な業務に時間を割けるようになり、管理体制が強化されたのも大きな効果だと言えます」と加澤氏。
これらの効果によって、21年度には重大なセキュリティインシデントの発生をゼロにすることができた。SecOpsによる運用体制の改善は、日本精工のセキュリティを確かなものとし、情報セキュリティ推進室が掲げる「サイバーセキュリティ脅威への対応」「情報資産の適切な管理」「顧客や社会、国内外の関係組織からの信頼獲得」という3つのミッションの実現に貢献している。
日本精工では、海外拠点で検知された脆弱性とインシデントについても、日本でアラートが発令されるようにしている。「各拠点が検知に気づかない場合を想定して、アラートが発令されたら日本からメール等で対応を依頼しています。その際も、管理番号によってインシデントごとの進捗状況を把握できるので、抜け漏れなく対処できます」と語るのは、情報セキュリティ推進室で海外拠点のセキュリティ運用を担当する曹 嘉迪氏だ。
この他、情報セキュリティ推進室は社内のセキュリティ体制を強化するため、一般従業員向けに報告や相談の窓口も設けている。22年9月、ServiceNowの機能を活用して、従業員からのセキュリティに関する問い合わせに応えるポータルサイトを開設した。
ICT本部
情報セキュリティ推進室
藤本 達也 氏
「外部から怪しいメールが届いたり、システムのおかしな振る舞いを発見したりしても、『誰に相談していいのかわからない』という従業員の声が多かったので、窓口を一本化しました。問い合わせが簡素化され早くなれば、初動対応のスピードアップが期待できます。より迅速、確実な対処が可能になるわけです」と語るのは、ポータルサイトの開発に携わった情報セキュリティ推進室の藤本達也氏である。
日本精工は今後もServiceNowのソリューションを活用し、セキュリティ領域にとどまらず、あらゆるリスクの管理強化を図っていく方針だ。加澤氏は、「ルールやポリシーに沿った運用ができているか確認するため、ガバナンスにまつわるリスク管理強化を実現するGovernance Risk Compliance(GRC)領域をカバーするServiceNow Integrated Risk Management (IRM) のソリューションを導入することも検討しています。ステークホルダーからの信頼獲得のため、これからも有効な仕組みは積極的に取り入れていきたいです」と語った。
