運行開発部次長、井上雅文氏(左)と同部調査役、並木崇行氏(右)
| クライアント | 株式会社JA-LPガス情報センター |
|---|---|
| 業種 | 情報通信サービス |
| 概要 | JA全農関連企業。安全化システム(あんしんキャッチ”24”)のサービスを展開。LPガスご利用者からの異常警報等の受信及び配信や、集中監視による緊急時における連絡・保安等を行っている。また、LPガスなどの物流、消費に関する情報収集や配信などを実施。LPガスを利用している全国JA需要家の個人情報を多数取り扱う。 |
導入前の悩み
「いざインシデントが発生した際に組織として対応できるように、弊社にもCSIRTが必要であると考えていましたが、専門ではない領域であり、片手間では難しいと感じていました。また、専門の教育を受けて実施するとなると時間や費用がかかり、現実的ではありませんでした。一方、自社社員のセキュリティ関係における知識やリテラシーの向上も課題であり、実践的なサイバーセキュリティトレーニングも模索していました」
導入の経緯
「セキュリティ診断サービスと標的型メール訓練サービスをお願いしているアルファネット様が、セキュリティ教育サービスの一環でCSIRT構築支援サービスとサイバーセキュリティトレーニングの双方を実施していたので依頼することとしました。CSIRT構築支援サービスは“CSIRTの概要、構築、運用の体系的理解”から“ワークショップを通した必要な体制や業務の理解”、“CSIRTの構築運用に必要となる資料のベース作成の支援”といったカリキュラムが組まれており、基本から実践に落とし込むまでのフローが確立されていると感じました。サイバーセキュリティトレーニングは、ゲーム形式で攻撃者視点と企業側状況認識力の双方を学ぶことができるというところに魅力を感じ、参加に至りました」
選定の決め手
CSIRT構築支援サービス
①トレーニングフローの確立
②CSIRTの規定類作成時のフォーロー
③CSIRT構築後の的確なフォロー
サイバーセキュリティトレーニング
①2日間の実践的なシミュレーション
②攻撃側と企業側の双方の視点から学べる
導入の効果
「自社のCSIRT構築については、2017年から3人の社員でスタートしていますが、2019年4月現在ですでに管理規則の策定などが完了。アルファネット様からチェックとアドバイスを受け、個人情報等の規定も揃えることができました。今後はマニュアル作りに取り組む段階であり、スムーズに体制が整えられていると実感しています。
2日間にわたって仮想空間で行われたサイバーセキュリティトレーニングは、実際に参加してみて非常に楽しかったという印象。ゲーム形式のシミュレーションなので非常に覚えやすかったです。演習を終えた後は自社の環境のみならず、自分自身のスマートフォンやプライベートパソコンにおけるインターネット環境にも、攻撃者が狙いたくなる脆弱性が散見していることに気づくことができました。こちらは話を聞くだけでなく実技を伴う演習となり、非常に理解しやすいので、ぜひ経営層等にも参加してもらいたいと感じました」
アルファネットのセキュリティ教育サービス
CSIRT構築支援サービス
「社内に情報セキュリティインシデント対応の機能が欲しい」、「効果的なインシデントレスポンスを実践し事業リスクを軽減したい」、「CSIRTを構築したいがどうしたらわからない」、「CSIRT構築のため社員育成を行いたい」といった悩みを持つ企業に適したサービスです。アルファネットはCSIRT構築を“組織設計”と捉え、クライアントの組織や業務に適した形での構築を推進。多くのCSIRT構築と運用で培ったノウハウと経験を生かし、強力に支援します。
サイバーセキュリティトレーニング
サイバー攻撃による不正侵入やセキュリティ侵害は実際に遭遇しないと理解できないことがほとんど。日本においては、特に中小企業らの対策が遅れているケースが多く見受けられます。自社が実施しているセキュリティ対策の有効性確認や課題を抽出のためには、実際のインシデント発生を想定した演習による日常的な準備と改善が重要です。アルファネットのサイバーセキュリティトレーニングはセキュリティ人材を教育するための演習ですが、守る方法を理解するだけでなく攻め方を知ることにより、守り側に何が必要なのかを考えることができる体験型のセキュリティ研修となっています。
