グローバルを含めたグループWebサイトの管理強化を目指した出光興産では、2013年5月、具体的なセキュリティ対策を実施する前段階として、海外でのWebサイトの運用環境や、セキュリティレベルの状況を調べることにしました。
そして、いくつかのサービスを検討した中から、NRIセキュアテクノロジーズのWebサイト群探索棚卸しサービス「GR360」の実施を決定します。
GR360とは、関連企業、海外のグループ会社などのWebサイトを探索して棚卸しを行い、簡易チェックによって基本的なセキュリティ状況を把握するサービスです。そこで得られた情報をもとにNRIセキュアがシステム管理者向け、経営層向けのレポートを作成し、報告します。
GR360を採用した理由を菅原氏は「スピード、コスト、品質の高さ」の3つを挙げて次のように語ります。
「短期間に結果がわかるGR360のスピードに期待しました。
また、以前にNRIセキュアのセキュリティ診断テストを実施したことがあり、その時の品質の高さに満足していたこともGR360を採用した理由です」。
GR360を実施する際、お客様が事前の調整作業などを行うことはほとんどありません。出光興産の場合も、同社が把握しているWebサイトのリストをNRIセキュアに提出し、Webサイトの管理者に対して情報システム部が「いつからいつまで、Webサイトの棚卸しを実施します」とアナウンスして、NRIセキュアが作成した資料を渡しただけで済みました。
出光興産におけるWebサイトの棚卸し簡易チェックの作業は、2013年の6月から7月にかけて行われました。
NRIセキュアでは、出光興産から提出されたWebサイトのリストをもとに、独自アルゴリズムを用いて、関連するWebサイトを洗い出しています。
そして、棚卸しをしたリストをもとに、Webサイト群のセキュリティレベルを確認し、外部の攻撃者からどのように見えているかを一括チェックして、その結果をもとに報告書を作成しました。
「GR360で洗い出した結果、自社で認識していなかったWebサイトも見つかり、本社の責任で管理しなければならないWebサイトは、全部で42あることが確認できました。
そのうち海外の関連会社のWebサイトは、アジアから北米、南米、欧州まで15にのぼっています。今回、GR360の結果をもとにセキュリティ診断まで実施した海外の関連会社向けのレポートは、現地のWeb管理者にも見せるため、英語と日本語の両方での作成を依頼し、海外には英語のレポートを送りました」(菅原氏)。

情報システム部
システム品質グループ
CISSP
菅原 昭伸 氏
「GR360で世界中にあるグループ会社のWebサイトの棚卸しを行ったところ、予想していなかったWebサイトが存在していたり、セキュリティの脆弱性が発見されたりするのは意外な結果でした。しかし、そのおかげでグループ全体のセキュリティレベルを高めることができたと思います。GR360は、海外拠点のWebサイトに対して、レポートも英語と日本語の両方で作成が可能なため、海外でビジネスを展開する当社にとって非常にありがたいサービスです」