きらやか銀行の事例に学ぶ、“把握しきれていなかったリスク”を可視化する方法

　山形・宮城県を地盤とするきらやか銀行は、地域の経済インフラを支える金融機関として、サイバーセキュリティ対策を経営上の重要課題と位置付け、きめ細かな対策を長年講じてきた。しかし、公開システムに対するリスク診断は「把握している範囲」に限られており、未把握資産や、包括的な視点でのリスク評価は十分とはいえない状態だった。

　そこで同行では、経済産業省の後押しもあり、「ASM（Attack Surface Management）」の本格導入に踏み切る。同サービスで特に評価したのは、エージェントソフトが不要で、ドメイン情報を入力すれば、把握・未把握にかかわらず、インターネット上に露出しているリスクを可視化できる点だ。攻撃者目線でリスクを洗い出し、セキュリティレベルを数値で可視化できるので、迅速な是正対応も可能となる。

　さらにはダークWebも監視対象としている点を高く評価。実際、複数のメールアドレスの流出が確認されたが、早期の発見・対処によって二次被害を免れたという。さらに、同サービスで得られた結果を基に、セキュリティ施策の優先順位付けを行えるようになった。数々の効果を得ることができたという本事例をぜひ参考にしてほしい。