2020/03/05プレスリリース
~脆弱性脅威の99.9%を削減※1 継続的なサイバー衛生管理を支援~
高度なサイバーセキュリティ対策が求められるエンタープライズ環境において、CISOサービス(セキュリティコンサルティングサービス)を手がけるデジタルアーツコンサルティング株式会社(本社:東京都千代田区、代表取締役社長:松本 忠雄、以下 デジタルアーツコンサルティング)は、Tenable,Inc(本社:米国メリーランド州、CEO:アミット・ヨーラン 以下テナブル社)と販売代理店契約を締結し、同社が提供する「脆弱性診断」や「コンプライアンスチェック」を包括的に実現するプラットフォーム「サイバーエクスポージャー」を活用した「サイバー衛生構築支援サービス」を提供開始します。
東京五輪開催を控える2020年に入り、サイバー攻撃は著しく巧妙化・多様化し、日本国内では大規模な情報漏洩事故が多発しております。企業における総合的なセキュリティ対策は業種・企業規模を問わず急務となり、複数のセキュリティ製品や機能を導入・管理・運用していく必要性に迫られてきました。しかしながら、クラウド環境の普及やIT資産の保管領域拡大、組織が保有する端末の増加などによって、企業・組織のネットワーク・サーバーから端末まで全てを監視し防御することは、膨大なセキュリティ人材とコストを要し、また組織体制強化や従業員のリテラシー教育といった対策にも限界があり、対策に足踏みしている企業・組織も少なくありません。
こうした状況下において、組織のIT環境やインターネット接続環境、PC等の端末を健全な状態に保つ継続的なセキュリティ対策である「サイバー衛生(サイバーハイジーン)」は、あらゆる外部からの攻撃による情報漏洩リスク、システム改ざん、サービス妨害等を排除するための対策として昨今注目されています。米国のSANS Institute ※2 が纏めたガイドライン(CIS Controls ※3(旧SANS Top 20 Critical Security Controls))のうち、最も優先度の高い上位6つは、サイバー衛生対策と位置づけられており、パッチ情報を管理し、速やかに適用するサイバー衛生管理を行うことで、脆弱性脅威を最大で99.9%削減できるとの調査結果も報告されています。
テナブル社の「サイバーエクスポージャー」は、同社が保有する脆弱性管理評価技術をベースに、サイバー衛生対策を包括的に実現するだけでなく、ネットワーク接続管理下の「IT資産棚卸・管理」、「脆弱性診断」、「脅威分析」、「自社資産の優先度付け」を行うことで、業界標準と自社リスク値の比較や、企業内で最もリスクが高いものを可視化することが可能となるプラットフォームです。しかし、こうしたプラットフォームの運用には、サイバーセキュリティに対する高い知見を有し、お客様ビジネスの実態に即した業務整理・改善提案が可能な人材を確保する必要があります。
デジタルアーツコンサルティングでは、これまで様々な企業において行ってきたサイバーセキュリティ分野のコンサルティング経験と知見を活かし、テナブル社の「サイバーエクスポージャー」を活用した「サイバー衛生構築支援サービス」の提供を開始します。本サービスの提供により、お客様に最適なサイバー衛生環境を構築し、正確なサイバーリスクを特定することで、高品質で継続的なセキュリティ対策を実現します。
デジタルアーツコンサルティングのコンサルタントが、お客様のセキュリティガイドラインや情報セキュリティ基本方針等と、現行業務・IT資産・稼働システム等とのFit&Gapを整理します。その後、ソリューションアーキテクトが加わり、テナブル社のサイバーエクスポージャーを通じ、サイバー衛生状態の可視化や、脆弱性・リアルタイム脅威・自社IT資産の優先度を考慮した企業のリスク分析を行う事で、現セキュリティ対策が妥当かどうか判らないお客様に対し、現状の可視化と、実ビジネスを考慮したお客様要件の整理や解決案をご提示(仮説案の構築)します。
サイバーセキュリティ対策は、企画・設計段階からお客様のビジネス環境、業務特性に合わせて高セキュリティを意識した機能の導入やオペレーション設計を行う「セキュリティ・バイ・デザイン」の考え方が重要となります。デジタルアーツコンサルティングは豊富な業務改善コンサルティングの経験と、サイバーセキュリティの知見を活かし、「セキュリティ・バイ・デザイン」に基づいたセキュリティソリューションの導入を支援します。
デジタルアーツコンサルティングのソリューションアーキテクトが、リスクアセスメントサービスで整理した仮説に対する検証(Proof of Value(POV))支援を行い、実ビジネスを考慮したお客様価値の可視化と、導入に向けたコンセプチュアルな設計を纏めます。その後、導入・サポートエンジニアにより、サイバー衛生構築に必要な下記①から⑤を踏まえた導入・運用設計、構築、保守・運用代行サービスを提供します。
組織内に存在するネットワークに接続するアカウント管理・監視・運用
組織内システムの保護に有効な、キーとなるセキュリティ設定
セキュリティ設定ができる管理者権限の使用制御
アプリケーション、ソフトウェア、OS の更新管理・運用
⑤繰り返し
上記①‐④を定期運用するための支援(ドキュメント作成・トレーニング・体制構築支援)
・Tenable社「サイバーエクスポージャー」
「サイバーエクスポージャー」とは、脆弱性管理プラットフォーム「Nessus」に基づく評価技術をベースに、さまざまな組織に適合した包括的なポートフォリオを実現します。現代のアタックサーフェスを適切に管理・計測することで、サイバーリスクを正確に把握し削減するサービスを提供します。
常に最新の情報を所有し、脆弱性診断 x リアルタイム脅威分析 x 自社IT資産の優先度からビジネス視点でのリスク分析を行うことで、企業のリスク低減と管理者の負担軽減の両方を実現します。
サーバやNW機器はもちろんのこと、AWSやAzureなどのパブリッククラウドからOTデバイスに至るまでIT資産全てを可視化します。また、それら資産が抱えるリスク状況も把握することが可能です。
デジタルアーツコンサルティングでは今回のサイバー衛生構築支援サービスの提供を通じ、今後ますます重要性が増す企業システムにおけるセキュリティ強化と、ICT利活用による最適な経営環境の提案を目指してまいります。
※1 Verizon社の調査「2015 Verizon Data Breach Investigations Report(DBIR)」)によれば、「悪用された脆弱性の99.9%が、共通脆弱性識別子(CVE)公開後1年以上経過して侵害されているとの調査結果が示されています。つまり、CVE公開後に作成されるパッチ情報を管理し、速やかに適用するサイバー衛生管理を行うことで、脆弱性脅威を最大で99.9%削減できることを示しています。
※2 SANS Instituteは、政府や企業・団体間における研究、及びそれらに所属する人々のITセキュリティ教育を目的として1989年に設立され、(本部:米国ワシントンDC)165,000人を超えるセキュリティの専門家や情報システム監査人、システムアドミニストレータ、ネットワーク管理者などに情報セキュリティ教育プログラムや各種セキュリティ情報・意見交換の場などを提供しながら、彼らが直面している問題の解決策を絶えず模索し続ける世界トップレベルのセキュリティ研究・教育機関です。
※3 米国国家安全保障局(NSA)等の米国の公的機関や情報セキュリティ専門企業等が共同で研究し、米国のセキュリティ専門団体であるSANS Instituteが取りまとめたガイドラインです。APTなどの高度な攻撃を含めて現在までに認識されている攻撃と、近い将来に発生が懸念される攻撃を阻む上で有効であると考えられる技術的なセキュリティコントロールに焦点を当てています。
Tenable®, Inc.は、Cyber Exposureのソリューションを提供する会社です。世界中の27,000以上の組織がサイバーリスクを正確に把握し、低減するためにTenableを採用しています。Nessus®の開発者であるTenableは、脆弱性に対する専門性をさらに広げ、あらゆる情報資産やデバイスの脆弱性を管理、保護できる世界初のセキュリティプラットフォーム「Tenable.io®」を展開しています。Tenableのお客様には、Fortune 500の半数以上の企業、Global 2000の25%以上、大規模な政府機関組織などが含まれています。詳しくは、tenable.com をご覧ください。
https://tenable.com/
・デジタルアーツコンサルティングについて
デジタルアーツコンサルティング株式会社は、経営部門へのIT戦略コンサルティングを得意とするメンバーを集結し、2016年4月1日に設立いたしました。
昨今、企業や官公庁を対象とした外部からのサイバー攻撃や、内部からの機密情報の漏洩が日本国内だけでなく、世界的にも深刻な問題として認識されるようになり、セキュリティ製品の導入支援のニーズも高まっていることから、デジタルアーツが情報セキュリティ業界で培った顧客基盤やノウハウを活かしながら、市場のニーズに柔軟かつ早急に対応すべく、特に製造・金融・製薬業界の大手企業を対象としたサイバーセキュリティ対策の導入支援を主に行っております。
https://con.daj.jp/
※ デジタルアーツコンサルティング、DigitalArtsConsulting、当社・当社製品関連の各種ロゴ・アイコンはデジタルアーツコンサルティング株式会社の商標または登録商標です。
※ その他、上に記載された会社名および製品名は、各社の商標または登録商標です。