導入の背景
東京オリンピック期間中のサイバー脅威に向けたセキュリティ強化が課題
東京2020オリンピック・パラリンピックでは、ゴールドパートナーとして日本代表選手団オフィシャルスポーツウェアを供給する株式会社アシックス(以下、アシックス)。同社ではパートナー決定と同時に、大会本番に向けた情報セキュリティ体制の強化に動き出しました。その第一歩としてリスク委員会を通じて、「大会期間中、どのようなサイバーセキュリティリスクが地政学的に存在するか?」、徹底的な検討の要請があったと、本社情報セキュリティ責任者であるIT 統括部 グローバルインフラストラクチャーセキュリティ部 インフォメーションセキュリティオフィサー・セキュリティリード 谷本重和氏は、振り返ります。
「もともと当社では、日本を中心とするAPAC 地域、アメリカ東西海岸地域、そしてアムステルダムに欧州の重要な拠点があり、この3つのリージョンを通じたサイバーセキュリティリスクの備えを強化することは、オリパラ開催期間だけに限らない、重要かつ継続的な課題でした」。
五輪大会の期間中、特に注意すべき脅威としては、①サイバー攻撃キャンペーンの予告 ②デジタルサイネージのハッキング ③ Web の脆弱性をついた攻撃 ④偽ドメインサイトの存在 などが予測されました。谷本氏は、こうしたリスクの存在を詳細にリストアップ。その上で「自社業務やサービス妨害による顧客への影響」、「社内個人情報や営業秘密の漏えい」、「その結果としての経済的被害やビジネス損失」の3つの具体的な課題の克服を「緊急提案」として上席に提言した結果、全社的な取り組みの推進が決定された経緯があります。
導入の経緯
セキュリティ機能から市場効果、運用までを比較検討して採用を決定
2019 年12 月に具体的な製品・サービスの検討に入った谷本氏は、さまざまな脅威モニタリング製品やサービス市場の情報をみずから収集・分析。最終的に5製品の候補に絞り込んでいきました。重視した検討項目は主に脅威情報分析サービスに関する「市場動向」、「市場のポジショニング」、「製品の評価」の3つ。これらを、信頼できる調査会社などの資料をもとに、比較検討を進めたといいます。
また製品の優位性を評価する際も、セキュリティ機能だけではなく、それらを利用してもたらされる投資効果(ROI)や、運用時における容易さまでを、トータルに検討するよう心がけたと谷本氏は語ります。「当社は、事業会社なので、サービス導入後に社内スタッフで使いこなせるか。またROI から見た場合、どんな導入メリットが期待できるかに重点を置きました。この結果、営業担当者および運用担当者の知識や技術レベルが非常に高いこと。加えて、当社の要望に対して柔軟かつ迅速に対応してもらえるとの期待から、最終的にNRI セキュアの『マネージド脅威情報分析サービス(TIA)』の採用を決めました」。
脅威インテリジェンスへの関心の高まりで、数多くのソリューションが登場する中、個別の製品にとらわれることなく「サービス」、「ノウハウ」、「人材」を融合させた、NRI セキュアならではのサービスに組み上がっている点を高く評価したと谷本氏は語ります。
システムの構成イメージ
導入の効果
PoCで発見された偽ドメインサイトに脅威マネジメントの重要性を痛感
2020年1 月後半からは、サービス運用計画の策定がスタート。ところが2020年4~9月の本番運用を目前に準備を進めていた3月下旬、プロジェクトチームに大きな衝撃が走りました。国内外における新型コロナウイルスの感染拡大を受けた、オリンピック/パラリンピックの開催延期決定です。
「この問題が浮上してきた2月以降、慎重に事態の推移を見守りつつ、予定通りの4月1日のサービス導入とその後の運用を進める決定を下しました」と谷本氏は明かします。
延期となった五輪開催が、もし可能になれば、当然そのための事前準備を進めておく必要があります。また今年中に運用がなくなったとしても、アシックスが直面している地政学的リスクが消滅するわけではなく、むしろサイバーセキュリティ対策のニーズは、今後も増大していくことが確実です。「中長期的な視点に立った脅威マネジメント体制の強化・充実という戦略からも、脅威マネジメント推進プロジェクトの継続は、必須だと判断しました」と谷本氏は振り返ります。
さらに同氏の確信をより強固にした要因の一つが、導入に先だって行われたPoC(概念実証)でした。今回谷本氏が危惧していた高リスクに、「偽ドメインサイト」があります。アシックスの公式Web サイトを装った不正サイトが、ネットワーク上やSNS にいくつも存在していることが、このPoC 期間を通じ、新たに判明したのです。
「サービスに実装されている脅威インテリジェンス管理用SaaS『IntSights(イントサイト)』が、そうした詐欺ドメインの一つを発見したのです。この結果、推測や予想では知り得なかった事実を新たに知ることができたのは大きな成果です」。
この検証結果によって、経営陣から現場までがサイバー脅威の存在を改めて実感し、脅威マネジメントに取り組む意識を共有できたと、谷本氏は手応えを語ります。
今後の展望
脅威インテリジェンスを自社のセキュリティ監視の定番機能に
今回「マネージド脅威情報分析サービス」は、9月末の半年を予定されています。ここで得られた結果をもとに、谷本氏は「脅威インテリジェンス」を、今後アシックスのグローバルセキュリティ対策の不可欠な要件として定着させていきたいと抱負を語ります。
「すでに当社では、これとは別にEDR やSIEM 構築やネットワーク監視サービスを委託先とともに運用しています。そこに今後は、脅威インテリジェンスというプラットフォームそのものを、恒常的な機能として組み込んでいきたい。2020年、東京五輪大会自体は延期となりましたが、当社においては、今回の脅威マネジメントの運用はサイバー対策の成熟度レベルを向上させる、チャレンジでもあり、今後の海外展開を見据えた助走期間であると捉えています」。
この実現に向け、現在は費用面やリソース面も含めた具体的な継続運用や計画について、経営層に対して積極的に提案を続けているところだと明かす谷本氏。今アシックスの脅威マネジメントへの取り組みが、明確な目的をもって、スタートを切りました。
※本文中の組織名、職名、概要図は公開当時のものです。(2020年6月)
