CIS Controlsに対応する“可視化”ソリューションを実現し、
将来はゼロトラストネットワークの脆弱性対策プラットフォームへ
関連サービス/製品:Tanium
株式会社セゾン情報システムズ(以下、セゾン情報システムズ)は、MFT(Managed File Transfer Suites)市場において国内シェアトップ、グローバルシェアでも4位につけるソフトウェアHULFT(ハルフト)で知られるシステムインテグレーター。Taniumを活用して約1800台の端末とソフトウェアの“可視化”を実現した。
・導入前の課題
最も脅威に感じていたランサムウェア対策として、端末とソフトウェアの脆弱性対策が必須だった。また、主に海外の顧客が要求するセキュリティ基準を充たすため、CIS Controlsへの準拠も急務だった。
・ソリューションの効果
1800端末をほぼすべてリアルタイムに可視化できるようになり、現状を数値化したレポートを提出することで、経営層との意思疎通をしやすくなった。
・今後の展望
ゼロトラストネットワークへの移行に伴い、グローバルなネットワーク環境を見直し、Taniumを全世界の脆弱性対策プラットフォームとして展開したい。
■ 最も不安な脅威はランサムウェア
セゾン情報システムズは、そのシステムインテグレーション事業とともに、国内シェア7割超のファイル転送ツール「HULFT」で有名だ。1993年にメインフレームとC/S環境のデータ連携を可能にするミドルウェアとして誕生したHULFTはその後も進化し続け、現在は次世代クラウド型データ連携プラットフォーム「HULFT Square(ハルフトスクエア)」が企業のDX基盤として注目を集めている。
デジタル産業に身を置くセゾン情報システムズにとって、セキュリティは身近な脅威だ。受注したプロジェクトを進めるにあたっては常にセキュリティを念頭に置く必要があり、ソフトウェア開発に際しても安心・安全は大前提だ。
さまざまな脅威の中で、セゾン情報システムズの経営層が最も恐れていた脅威はランサムウェアであり、脆弱性対策が急務だった。セゾン情報システムズでは、OSやソフトウェアの最新パッチを速やかに適用するよう、すべての社員と端末管理者、自社ネットワークにアクセスできる協力会社の社員などに周知していたが、「まさにいま、実際に適用されているかどうか」を確認することは難しかった。社員のITリテラシーは高い。とはいえ、開発環境の端末などは多数あり、ハードウェアとソフトウェアのリアルタイムかつ完全な資産管理をワンストップで実現できるソリューションが必要だった。
コーポレートデベロップメントセンター QM推進室 松村 章宏氏は、「私たちがグローバル企業としてさらなる成長を遂げるためには、セキュリティについてもグローバルな規格に対応しておく必要がありました」と加える。「そこで、クラウドと親和性の高いCIS Controlsへの準拠を目指すことになり、デジタル資産をリアルタイムに棚卸して管理できるソリューションを検討することになりました。」
デジタル産業に身を置くセゾン情報システムズにとって、セキュリティは身近な脅威だ。受注したプロジェクトを進めるにあたっては常にセキュリティを念頭に置く必要があり、ソフトウェア開発に際しても安心・安全は大前提だ。
さまざまな脅威の中で、セゾン情報システムズの経営層が最も恐れていた脅威はランサムウェアであり、脆弱性対策が急務だった。セゾン情報システムズでは、OSやソフトウェアの最新パッチを速やかに適用するよう、すべての社員と端末管理者、自社ネットワークにアクセスできる協力会社の社員などに周知していたが、「まさにいま、実際に適用されているかどうか」を確認することは難しかった。社員のITリテラシーは高い。とはいえ、開発環境の端末などは多数あり、ハードウェアとソフトウェアのリアルタイムかつ完全な資産管理をワンストップで実現できるソリューションが必要だった。
コーポレートデベロップメントセンター QM推進室 松村 章宏氏は、「私たちがグローバル企業としてさらなる成長を遂げるためには、セキュリティについてもグローバルな規格に対応しておく必要がありました」と加える。「そこで、クラウドと親和性の高いCIS Controlsへの準拠を目指すことになり、デジタル資産をリアルタイムに棚卸して管理できるソリューションを検討することになりました。」
■ PoCの支援から細かなサポートまで
こうした過程を経て選定されたのが、Taniumだった。テクマトリックスに提案を依頼し、複数のソリューションをCIS ControlsのBasic 6項目と照らし合わせたところ、求める要件をTaniumが最も充たしていたためだ。2020年にQM推進室と情報システム部門の合意が形成され、PoCプロセスを経て、2021年9月に契約。2021年10月から本番用のセットアップを行った。クラウド版を採用したため、テクマトリックスのサポートを受け、実際に使いながら運用設計書と運用手順書などのドキュメント類を整備し、その完成をもって本格運用へと移行した。
当初は脆弱性を抱えている端末が想定より多く、中でもWindowsの月次パッチを当てていない端末が目立ったという。コーポレートデベロップメントセンター QM推進室阿部 正朝氏は、「すべてを可視化できたために、本気になって脆弱性を撲滅する取り組みを進めることができました」と話す。
いまでは協力会社の持ち込みPCを含めた約1800端末をほぼ完全に可視化。未把握端末は3%程度で、そのほとんどは新規導入端末だ。そのため、未把握端末を完全にゼロにすることは難しいが、検証環境のサーバなども管理者が登録してくれるようになってきたことで、常にクリーンな状態を保てている。
「PoCの支援をテクマトリックスさんにお願いしたところ、NIST CSFベースの考え方をCIS Controlsベースに書き換えてもらうことができ、Taniumでいけると確信できました。その後の構築も担当いただき、いまでも保守対応でお世話になっています。SaaSなのでハードウェアはありませんが、細かなところを的確にサポートいただけるので、サービスの価値は高いと感じています」(阿部氏)
当初は脆弱性を抱えている端末が想定より多く、中でもWindowsの月次パッチを当てていない端末が目立ったという。コーポレートデベロップメントセンター QM推進室阿部 正朝氏は、「すべてを可視化できたために、本気になって脆弱性を撲滅する取り組みを進めることができました」と話す。
いまでは協力会社の持ち込みPCを含めた約1800端末をほぼ完全に可視化。未把握端末は3%程度で、そのほとんどは新規導入端末だ。そのため、未把握端末を完全にゼロにすることは難しいが、検証環境のサーバなども管理者が登録してくれるようになってきたことで、常にクリーンな状態を保てている。
「PoCの支援をテクマトリックスさんにお願いしたところ、NIST CSFベースの考え方をCIS Controlsベースに書き換えてもらうことができ、Taniumでいけると確信できました。その後の構築も担当いただき、いまでも保守対応でお世話になっています。SaaSなのでハードウェアはありませんが、細かなところを的確にサポートいただけるので、サービスの価値は高いと感じています」(阿部氏)
コーポレートデベロップメントセンター
QM推進室 SIS-CSIRT 阿部 正朝氏
QM推進室 SIS-CSIRT 阿部 正朝氏
コーポレートデベロップメントセンター
QM推進室 CISSP 松村 章宏氏
QM推進室 CISSP 松村 章宏氏
■ ゼロトラストでも安心できる環境を
Taniumのソリューションにより、ワンストップで可視化から設定・変更まで幅広く対応できるため、担当者がセキュリティ設定する際にCIS Benchmarksガイドラインに準拠する運用プロセスを確立しやすくなることにも期待されている。
この状況を作り上げたことで、経営層に対して、リアルな数字に基づくレポートを提供できるようになった。端末把握率や、脆弱性を抱えている端末の割合およびその理由などを定期的に報告している。
「サイバーハイジーンやレジリエンスなどの言葉はクールで、私たちとしてはそちらを使いたいのですが、弊社の経営層には“可視化”の方が好まれます。衛生管理と言い換えても違和感があったようで、いまでは“Taniumは優れた可視化ソリューションだ”として社内に認知されています」(松村氏)
今後は、海外グループ会社/子会社への展開も視野に入っている。そのために、ネットワークも見直し、グローバルで共通化する方向にある。阿部氏は、「ゼロトラストネットワークへの移行を真剣に検討していて、すでにゼロトラストの考え方をセキュリティ方針策定の中心に置いています。弊社はDXを推進する会社ですから、セキュリティを優先して便利な使い方に制限をかけるという方向性はありえません。テクマトリックスさんの支援を受けながら、Taniumをベースとしてゼロトラストでも安心できる環境を作っていきます」と話してくれた。
この状況を作り上げたことで、経営層に対して、リアルな数字に基づくレポートを提供できるようになった。端末把握率や、脆弱性を抱えている端末の割合およびその理由などを定期的に報告している。
「サイバーハイジーンやレジリエンスなどの言葉はクールで、私たちとしてはそちらを使いたいのですが、弊社の経営層には“可視化”の方が好まれます。衛生管理と言い換えても違和感があったようで、いまでは“Taniumは優れた可視化ソリューションだ”として社内に認知されています」(松村氏)
今後は、海外グループ会社/子会社への展開も視野に入っている。そのために、ネットワークも見直し、グローバルで共通化する方向にある。阿部氏は、「ゼロトラストネットワークへの移行を真剣に検討していて、すでにゼロトラストの考え方をセキュリティ方針策定の中心に置いています。弊社はDXを推進する会社ですから、セキュリティを優先して便利な使い方に制限をかけるという方向性はありえません。テクマトリックスさんの支援を受けながら、Taniumをベースとしてゼロトラストでも安心できる環境を作っていきます」と話してくれた。
株式会社セゾン情報システムズ
住所:〒107-0052
東京都港区赤坂1-8-1 赤坂インターシティAIR 19F
設立:1970年9月1日
資本金:13億6,768万円
従業員数:696名(2022年3月期連結)
売上高:232億1,882万円(2022年3月期連結)https://home.saison.co.jp/
お客様担当者
株式会社セゾン情報システムズ
コーポレートデベロップメントセンター
QM推進室 SIS-CSIRT
阿部 正朝氏
株式会社セゾン情報システムズ
コーポレートデベロップメントセンター
QM推進室 CISSP
松村 章宏氏
関連製品
Tanium
Taniumが開発した独自のリニアチェーン技術を利用し、数万台のエンドポイント端末の状況を数十秒で可視化することができます。既存のソリューションでは、各端末のデータ収集からアクションの実行まで数週間から数ヶ月かかっていたところ、Taniumを導入することにより大規模な環境でも数秒、数十秒という短時間で正確にエンドポイントの状況を把握することが可能です。また、状況の把握だけではなくパッチ適用・ソフトウェア配布なども行え、他社製品との連携も可能です。
本件についてお問い合わせ
テクマトリックス株式会社
東京本社
ネットワークセキュリティ事業部
第3営業部
セキュリティプロダクツ営業2課
03-4405-7814
メールでのお問い合わせ / tanium-sales@techmatrix.co.jp
CONTACT
ITインフラに関してお悩みの方は
お気軽にご相談ください
ご不明な点はお気軽に
お問い合わせください。
お問い合わせください。
ITインフラに関するお役立ち資料は
こちらよりダウンロードできます。
こちらよりダウンロードできます。
