サイバー犯罪者にとって製造業は格好の餌食。脆弱性診断でセキュリティホールを徹底的に洗い出す
株式会社イマオコーポレーション
本事例記事のサマリ
抱えていた課題
- 脆弱性を徹底的に洗い出したい
- 適確なセキュリティ対策を、限られた予算内で実施しなければならない
- 製造業へのサイバー攻撃が増加していて非常に脅威に感じている
ランサポ 導入の効果
- 14万超の世界基準の調査項目で、脆弱性を洗い出せた
- 診断結果から、対策の優先順位が明確になった
- 診断で専門家のアドバイスを定期的に得られるようになった
1
グローバルに求められるイマオの製品、
サイバー攻撃により工場の稼働を停止するわけにはいかない
今回、脆弱性診断を実施したのは、岐阜県に本社を構える株式会社イマオコーポレーション(以下、イマオコーポレーション)。
産業機械用の標準機械部品、標準治具、アルミ構造材など多くの機械要素部品を、自社製品のみならず海外提携先メーカーの製品を含め幅広いラインアップで製造・販売している。
『万が一サイバー攻撃の被害に遭った場合、お客様に多大なるご迷惑をおかけすることになります。創業以来、積み上げてきた信用も失ってしまうでしょう。そのため、セキュリティ対策は非常に重要なことだと考えています。』そう話すのはイマオコーポレーション 情報システム部 主幹 梅村正喜様。
なぜ脆弱性診断を実施することにしたのか、実際に診断結果を受けてどのような効果が得られたのか、セキュリティ対策に携わる担当者の生の声を聞いた。
2
製造業は身代金目的の犯罪者にとって格好の餌食
近年のサイバー攻撃被害件数は右肩上がり。製造業においてももちろんそれは例外ではない。特に製造業は、攻撃被害に遭うと受発注・製造ライン・製品の入出荷などといった広範囲の業務に支障をきたし事業継続までをも脅かす。さらにはサプライヤーにまで被害が拡大するといった事件も実際に発生している。そのため、製造業にとってサイバー攻撃は非常に大きな心理的プレッシャーとなっている。そして悲しくもこれは身代金目的の犯罪者にとっては非常に好都合なのである。
また近年、IoT化・自動化などにより製造業の多くのシステムがネットワークに接続されるようになった。これもまた、製造業のサイバー攻撃被害件数が増加した要因の一つ。ネットワークに繋がるシステムが増えれば増えるほど、これに比例して脆弱性(*)も増えるためだ。
脆弱性(*)とは?
コンピュータシステムやソフトウェアに存在する弱点や欠陥のことで、セキュリティホールとも呼ばれている。脆弱性がそのまま放置された状態でコンピュータシステムやソフトウェアを使い続けると、不正アクセスを受けたり、ウイルス感染したりしてしまう危険性が非常に高くなる。
定期的な脆弱性診断で、
セキュリティホールの有無を専門家にチェックしてもらうべき
株式会社イマオコーポレーション 梅村 様
3
パッチ適用の徹底だけでは不十分、
脆弱性診断でセキュリティホールを徹底的に洗い出す
脆弱性管理は、セキュリティ対策の基本中の基本。イマオコーポレーションでも、自動パッチ適用機能なども活用しながら数日~週一くらいのスパンで脆弱性の確認を行っていたという。
『メーカーから提供されるパッチの適用は最低でも一週間に一回、かなり気を付けてこまめに実施しています。中には毎日確認しているものも。しかしながら、やはり不安は尽きません。自作の基幹システムも利用していますから、定期的な脆弱性診断で、セキュリティホールの有無を専門家にチェックしてもらうべきと考えるようになりました。』イマオコーポレーション 梅村様
脆弱性と聞くと、メーカーが発表するプログラムの不具合(バグ)の事を連想する人も多いと思うが、それは間違いだ。企業側の設計ミスや企業特有の使用方法・環境などに起因して脆弱性が生じることも多々あるのだ。
イマオコーポレーションでは、情報システム部門がスクラッチで開発した社内基幹システムを利用しており、これの運用メンテナンスも自社で行っているという。このような自社開発のシステムを使用している点も、脆弱性診断の必要性を感じた大きな理由だったようだ。
4
巷にあふれる多数の脆弱性診断サービス、決め手は何だったのか
脆弱性診断の実施を決意したイマオコーポレーション、どの業者に診断を依頼すべきか複数社に問い合わせて比較検討したという。
『最終的に網屋さんの脆弱性診断サービスを受けることにしました。決め手は3つ、①広範囲の診断が可能で、②弱点に感じているローカルエリアの診断もでき、それでいて③価格が一番マッチしていたからです。』イマオコーポレーション 梅村様
イマオコーポレーションは今回、インターネットエリア(公開セグメント)とローカルエリア(社内ネットワーク)の脆弱性を診断できるプラットフォーム診断を選択した。国際標準ガイドラインに準拠した、14万件を超える調査項目からなる診断メニューだ。
▲今回イマオコーポレーションが実施した「プラットフォーム診断」
5
いざ診断、攻撃者目線で
インターネットエリアとローカルエリアをそれぞれ診断
診断は、インターネットエリアとローカルエリアそれぞれ順番に行われた。
まずはインターネットエリア診断。公開セグメントに当社のセキュリティエンジニアがインターネット経由でアクセス。サイバー攻撃者と同じ目線で、Webプロキシ/リバースプロキシ/メールサーバ/スイッチ/ VPN/ NW機器等などに攻撃を成功させてしまうような脆弱性が存在しないかを洗い出していく。
続いて行われたのは、ローカルエリア診断。こちらは攻撃者が不正侵入を成功させたという前提のテスト項目になるため、診断用端末を社内ネットワークに持ち込み実行される。自作の社内基幹システムはもちろんの事、クライアント端末/ファイルサーバ/データベース/Active Directory/社内ポータル/各種サーバ等、設定やアクセス権管理などに不備がないか確認していく。
6
想像よりも厳しい診断結果…。
結果を真摯に受け止め、着実にセキュリティホールを潰していく
厳しい診断結果で、本音を言うとショックです…。
でも、やらなくてはいけない事は明確になった
株式会社イマオコーポレーション 梅村 様
インターネットエリア、ローカルエリア、それぞれ診断終了後およそ1週間程度で結果が報告された。
『想像していたよりも厳しい診断結果で、本音を言うとショックです…。でも、やらなくてはいけない事は明確になったと感じています。』イマオコーポレーション 梅村様
また、続けて梅村氏は次のように話した。
『我々は、限られた予算内で適確なセキュリティ対策をしないといけない。診断結果により実施すべき対策に優先づけができたのも非常に良かったと感じています。また診断結果は、今後のセキュリティ対策の強化を実施する際、その正当性を証明するエビデンスとしても活用出来ると思いました。』イマオコーポレーション 梅村様
網屋で脆弱性診断を実施した企業の多くは、一番初めの診断結果にショックを受けるという。これは、どのような企業にもそれなりに脆弱性=セキュリティホールが存在し、そしてこれに大半の企業が気が付けていないという事実を物語っている。
サイバー犯罪者は今もどこかで脆弱性を探し攻撃を仕掛けている。脆弱性診断はいわば企業システムの健康診断。定期的な診断を継続して実施し、地道に、かつ着実に、セキュリティホールを潰していく事が非常に大切であると我々は考える。