サイバーセキュリティ対策を支援するアルファネット 3つのサービス導入事例

クライアント情報

企業名 株式会社JA-LPガス情報センター
業種 情報通信サービス
概要 JA全農関連企業。安全化システム(あんしんキャッチ”24”)のサービスを展開。LPガスご利用者からの異常警報等の受信及び配信や、集中監視による緊急時における連絡・保安等を行っている。
また、LPガスなどの物流、消費に関する情報収集や配信などを実施。LPガスを利用している全国JA需要家の個人情報を多数取り扱う。

インタビュイー


運行開発部 次長 井上 雅文 氏

運行開発部 調査役 並木 崇行 氏

Ⅰ.見落とした脆弱性もしっかりチェック。
自社セキュリティレベルを把握する「セキュリティ診断サービス」

2〜3社のサービスと比べて協議しましたが、コストパフォーマンスに優れたアルファネット様のセキュリティ診断サービスを選びました。機能面において診断項目が多く、報告書も分かりやすいのが決め手。同サービスによって、セキュリティ診断サービスで浮き彫りとなった危険度の高い項目を共有し、対応することができています。

また、それにより会社全体の意識向上につながったと感じます。毎年のようにセキュリティホールは発見されますが、セキュリティ診断サービスによって余裕を持って対応できるようになり、不安はかなり軽減されました。

具体例を挙げると、私たちが業務で利用するシステムのほとんどはイントラネット内ですが、一つだけ外部から閲覧可能なシステムがあります。システムを作った際はセキュリティを考慮してあるはずなのですが、そこに脆弱性が発見されました。このように、自分たちでは把握できないセキュリティホールやリスクの高い項目を可視化してくれることは、とてもありがたく、安心できます。

潜在的にリスクの高いシステムなどは、どの企業にも存在するのではないでしょうか。自社でそれを把握するのには限界があります。アルファネット様のセキュリティ診断サービスはテーマ、項目毎に細かくチェックします。私たちはそれを目で見て判断できるという安心を得ることができます。現在の自社におけるセキュリティレベルがよく分かるとともに、しっかりと成果を挙げられるサービスだと思います。

詳細:セキュリティ診断サービス導入事例(株式会社JA-LPガス情報センター様)

Ⅱ.約4%の改善に成功。
きめ細かに従業員リテラシー向上が可能な「標的型メール訓練サービス」

2016年頃までは標的型メール訓練用ソフトを導入し、自社で運用していました。スパムメールその他様々なメールを試したいところでしたが、送ることができるパターンは限られており、ドメインは1〜2個のみ。これでは日々被害が拡大し、巧妙になってきている標的型メール攻撃には対応できません。標的型メール訓練の内容に偽装関係のメールなども取り入れたいと考えていた際、それが可能かつ安価に導入できたのがアルファネット様の標的型メール訓練サービスです。

現在のところ、年2回、アルファネット様の標的型メール訓練を約120人の従業員に実施しています。開封率は平均して15%ほど。初回実施からおよそ4%下がっており、一定の効果が見えています。以前は開封していた派遣社員が、訓練を重ねることによって改善されてきているのもポイントです。また、標的型メール訓練の内容をコンプライアンスの会議などで周知する事により、社内のリテラシーの向上にも一役買っております。

その他にも、従業員へは業務が忙しいときに受信したメールや“緊急”というタイトルのメールもしっかりドメインを確認するようにアナウンスしており、リテラシー向上やセキュリティを考えるきっかけ、モチベーション維持のために毎年続けています。

標的型メール攻撃は1人が開いてしまったらアウト。しかし、従業員の開封率を0%にすることはほぼ不可能でしょう。つまり、標的型メール訓練サービスの結果を受けて、企業として初動対応を考えるきっかけにもなっています。

詳細:標的型メール訓練サービス導入事例(株式会社JA-LPガス情報センター様)

Ⅲ. CSIRT構築支援とサイバーセキュリティトレーニングを網羅した
「セキュリティ教育サービス」

CSIRT構築支援サービスについて

いざインシデントが発生した際に組織として対応できるように、弊社にもCSIRTが必要であると考え、2017年からCSIRT構築支援サービスを導入しました。以前は、専門ではない領域なので片手間では難しいと感じており、また、専門の教育を受けて実施するとなると時間や費用がかかり、現実的ではありませんでした。

アルファネット様から提案頂いたCSIRT構築支援サービスは”CSIRTの概要、構築、運用の体系的理解”から、”ワークショップを通した必要な体制や業務の理解、”CSIRTの構築運用に必要となる資料のベース作成の支援”といったカリキュラムが組まれており、基本から実践に落とし込むまでのフローが確立されておりました。

自社のCSIRTの構築については、2017年から3人のスタッフでスタートしていますが、2019年4月現在ですでに管理規則の策定などが完了。アルファネット様からチェックとアドバイスを受け、個人情報等の規定も揃えることができました。今後はマニュアル作りに取り組む段階であり、スムーズに体制が整えられていると実感しています。

サイバーセキュリティトレーニングについて

2日間にわたって仮想空間で行うシミュレーションです。自社のセキュリティ関係に携わるスタッフとして知識を増やしたいと思い、参加しました。実際に参加してみて最初に感じたのは“楽しい”ということ。攻撃者視点と企業側状況認識力の双方を学ぶことができます。

ゲーム形式の演習なので非常に覚えやすく、2日間の演習を終えた後は自社の環境のみならず、自分自身のインターネット環境にも攻撃者が狙いたくなる脆弱性が散見していることに気づくことができました。こちらは話を聞くだけでなく、実技を伴う演習。非常に理解しやすいので、ぜひ経営層等にも参加してもらいたいと感じました。

詳細:セキュリティ教育サービス(CSIRT構築支援サービス・サイバーセキュリティトレーニング)導入事例(株式会社JA-LPガス情報センター様)

株式会社JA-LPガス情報センター様コメント

アルファネットとは、情報セキュリティEXPOでお話しを伺った時からお付き合いが続いています。最初に依頼したのはセキュリティ診断サービス。自社のセキュリティレベルや脆弱性を顕在化することができ、大きな効果があったと実感しています。続いて標的型メール訓練サービス、セキュリティ教育サービスを依頼。自社のセキュリティ面においてとても良くサポートしていただいております。

各企業にマッチした豊富なメニューはもとより、担当者のきめ細かな対応、的確なアドバイスやご提案が非常にありがたいと感じています。セキュリティ対策に終わりは無いので、これからも変わらず質の良いサービスをご提供いただければと思います。

関連記事

ピックアップ記事

  1. IPA(独立行政法人 情報処理推進機構)から発表された「情報セキュリティ10大脅威 2018」では組…
  2. 忙しいWebアプリケーションエンジニアのためのWebセキュリティ第一歩 Webセキュリティをどこで…
  3. 「ローカルプロキシツール(BurpSuite)の紹介」 ローカルプロキシツールの有効性 We…
ページ上部へ戻る