セキュリティ対策に漏れやリスクはないか、アイカ工業に学ぶ脆弱性管理の改善術

　積極的な海外展開により、アイカ工業は14の国と地域に51のグループ会社を擁する。だがセキュリティ対策は拠点別に行われ、本社が状況を正確に把握できていなかった。特に各社Webサイトはマーケティング部門管轄が多く、情報システム部門が外部公開資産のセキュリティ状況を網羅的に把握するのが難しかった。

　自社サイト改ざんや海外企業のランサムウェア被害を機に、同社はグループ全資産の見える化が不可欠と判断。対策漏れがないかを客観的に評価すべく、未把握の外部公開資産を発見・可視化するASM（Attack Surface Management）サービスを導入。結果、未把握資産が網羅的に洗い出され、オープンポートやApache・IISの設定不備、古いまま放置された機器のリスクも明らかになった。

　またマクニカ セキュリティ研究センターの知見に基づき検出結果を精査し、優先対応すべき脆弱性を明確化。高優先度のものから各社への対応が依頼可能になった。FortiGate製品の脆弱性発見時は助言を受け即日対処するなど、リスクベースの優先度付けが奏功している。継続的監視と即時アラートにより、日々変わる資産とリスクをアイカグループCSIRTと連携しつぶし込む体制が整った。