日系のグローバル企業のセキュリティ課題

近年では、セキュリティインシデントがグループ全体の事業停止に波及する事例が多数確認されており、グローバル企業のセキュリティ意識は変化しつつある。まずはグローバル企業のセキュリティ意識の変化を解説する。

グローバル企業に起きた海外拠点に対する意識変化

海外拠点のIT環境に対する意識の変化には、セキュリティインシデントの増加が影響している。

グローバル企業の意識変化の年表

時期	主なインシデントの傾向	グローバル企業の意識変化	主なトピックス
～2021年頃	リモートワーク・VPN起点の侵害増加	テレワークやBYOD関連のアクセス環境のリスクが顕在化	IPAの情報セキュリティ10大脅威 2021にて「テレワーク等の環境や仕組みを狙った攻撃」 が初選出、3位にランクイン
2022年～2023年頃	ランサムウェア被害やラテラルムーブメントの増加	1拠点の侵害がグループ全体に波及する認識の定着	名古屋港のコンテナターミナルシステム障害
2024年～現在	海外拠点に起因するグループ全体へのサイバー被害が問題化	本社主導で海外拠点のIT環境・未管理資産を調査する動きが拡大	FortinetによるSSL-VPN廃止 精密機械分野のグローバル企業で海外拠点経由のインシデント

行武は次のように述べている。

「これまで多くのグローバル企業では、『海外拠点は各国のローカルルールに沿ったIT運用が望ましい』という認識から、拠点の担当者による管理や申告に依存するケースも多く、資産台帳に含まれない「未管理資産（シャドーIT）」までは把握していませんでした。しかし、近年では海外拠点を起点としたグループ全体に波及するサイバー攻撃の事例が増え、『海外拠点がどういうセキュリティ管理状態なのかを可視化したい』という意識が高まっています」

海外拠点のセキュリティ意識の変化については、IPAも「海外拠点のセキュリティ意識の向上が必要」と指摘しており、本社主導による管理体制強化の重要性が高まっている。今後は本社のIT部門が主体となって、海外拠点のIT資産を直接的に調査するなど、海外拠点経由のインシデント防止のために動くことが大切だ。

国内と比べて海外拠点で脆弱性診断が実施されにくい背景

海外拠点のIT資産への意識は変化したものの、現状では本社が能動的に海外拠点のIT資産を調査するケースは限定的で、IT環境内部の脆弱性も放置されがちである。

行武は「グローバル企業の本社ではIT資産管理を情報システム部門が担っており、全てのIT資産を精度高く管理し、セキュリティ状態の管理を実施できます。一方で、海外拠点のIT資産のセキュリティ状態の管理は、申告されているIT資産以外にも“ノラ”のIT資産の存在や、言語・文化の違いによるコミュニケーションハードルの高さにより、確実なIT資産のセキュリティ状態の管理を難しくしています」と、海外拠点ならではの課題を指摘する。

申告ベースのIT資産管理が難しい場合、ツールを活用した網羅的なIT資産の把握からそれぞれのセキュリティ管理状態を調査できるサービスが向いている。さらにはコミュニケーションコストの高さに関しては、英語対応かつ調査後のセキュリティ対策提案まで任せられるサービスが必要だ。

IIJの海外脆弱性診断で解消できる課題

IIJでは、前述してきた海外拠点のIT資産管理における課題を解消する「海外脆弱性診断」を提供中だ。以下は海外脆弱性診断の主な特徴である。

ネットワークセグメント指定で拠点に潜む脆弱性を可視化

ネットワーク上に稼働しているIT資産について網羅的にスキャン/洗い出しを行い、それらの脆弱性を可視化し、対応優先度を明確化

セキュリティ改善対応の支援

セキュリティエンジニアによる対応方法の提案や相談支援の実施、本社・海外拠点双方に調査後の適切な対応を後押し

全てのアタックサーフェスを可視化

海外脆弱性診断と「IIJ Safous Security Assessment アタックサーフェス診断（以下本文中ではアタックサーフェス診断と表記、詳しくは後述）」と組み合わせて、「エクスターナルアタックサーフェス」及び「インターナルアタックサーフェス」のセキュリティ状態を可視化し、必要な対処を明確化

海外脆弱性診断の提供イメージ

上記の通り、海外脆弱性診断はグローバル企業の海外拠点のセキュリティリスクを可視化し、調査後のセキュリティ対策方針の支援までワンストップで提供する。ここからは海外脆弱性診断独自の特徴を3つ紹介する。

ネットワークセグメント指定による拠点単位の診断実施

一般的な脆弱性診断はIPアドレスを指定し、局所的に実施できるものが多いが、網羅的に海外拠点のIT資産を調査するにはやや非効率だ。

しかし、IIJが提供する「海外脆弱性診断」は、ネットワークセグメントを指定することで拠点のIT資産を網羅的に洗い出し、調査する。資産台帳に登録されていない未管理の機器なども検出でき、従来の現地担当者の申告ベースによる調査漏れを解消できる。

IPアドレス指定とネットワークセグメント指定の違い

手法	特徴	活用イメージ例
IPアドレス指定	特定のサーバや端末など既に把握しているIT資産を対象に診断する。調査対象が明確なため精度は高いものの、未管理資産などを調査漏れが発生。	棚卸済みの資産の中で、事業上で特に重要な機器などを指定して、潜在するリスクを徹底的に調査・診断する。
ネットワークセグメント指定	セグメント全体をスキャンし、未管理資産含む現場に存在する機器を網羅的に調査する。棚卸しすることなく脆弱性診断を実施できるのも魅力。	管理体制が未整備で、担当者がIT資産を十分に把握していない場合などに効果的。拠点のIT資産全てを対象に網羅的に調査・診断する。

幅広いユーザ層向けに作成されたレポート

拠点調査の成果物である「診断レポート」は、大別すると2部構成になっている。前半部分は海外拠点ごとのセキュリティ管理状態を一目で理解できるように、国際基準のCVSSに基づき各IT資産の評価を一覧で示している。

後半部分では脆弱性及びホストごとにリスクの抱える資産に絞り、どのような対策が必要なのかを簡潔にまとめている。脆弱性ごとの推奨対応を記載しているため、専任のセキュリティ担当者がいない拠点でも対応方針を判断しやすいのが特徴だ。

日本語・英語対応のセキュリティアナリストミーティング

オプションで提供する「セキュリティアナリストミーティング」は、海外脆弱性診断の最大の特徴であり、IIJグループのセキュリティアナリストが日本語・英語でレポートの内容を詳しく解説するというものである。レポート結果を踏まえて現状のセキュリティリスクを洗い出し、脆弱性診断後のネクストアクションを提案する。

行武によれば「セキュリティアナリストミーティングでは、結果報告に加え、お客様の現状や運用状況をヒアリングしながら、課題に対する最適な対策を導き出します。運用委託先ベンダーとの連携や、ネットワーク環境に応じた設定方針など、実務に直結するアクションとして具体化します。」とのこと。

セキュリティアナリストミーティングは英語での対応を選択できる点も魅力だ。一般的な脆弱性診断のソリューションが日本語によるレポート解説に留まることが多いなかで、IIJの海外脆弱性診断は英語でのミーティング開催で、現地の状況にあった具体的な対応策を直接現地の担当者に伝える事が可能だ。日本語・英語双方で対応できる点はグローバル企業向けのサービスが充実しているIIJならではの特徴だろう。

IIJが提供するセキュリティアセスメントサービスの使い分けと活用手順

IIJでは海外脆弱性診断と同じシリーズの「アタックサーフェス診断」を提供しており、依頼企業の目的・環境によって使い分けできるようになっている。最後にIIJの提供している海外脆弱性診断とアタックサーフェス診断の活用手順・併用方法などを解説する。

使い方項目	アタックサーフェス診断	海外脆弱性診断
外部公開されているIT資産を網羅的に把握したい	◎	×
社内の未管理資産含むIT資産を網羅的に把握したい	×	◎
発見したIT資産に対するセキュリティ状態を把握したい	◎	◎※1
具体的なセキュリティ対策を把握したい	◎	◎
発見したリスクを定点観測・継続監視したい	◎	◯※2
調査実施から完了まで短期で行いたい	◎（5営業日程度）	◯（1ヵ月程度）※3

※１．調査対象は多岐に渡り、OSやソフトウェア、NWサービス（SSH・HTTP・SMB等）、ワードプレスやApacheなどのアプリケーション、MY SQLやOracleなどのDB、SSL・TLS証明書の有効期限や設定状況を調査・分析する。
※２．継続監視は個別対応として検討可能。
※３．実績ベース。状況により変動。

アタックサーフェス診断の次に海外脆弱性診断を実施する

上記の表の通り、アタックサーフェス診断はインターネット上の公開IT資産を調査する「エクスターナルアタックサーフェス管理」に近い役割を担う。一方で、海外脆弱性診断は拠点内部のネットワークセグメントを対象として、未管理資産を含む「インターナルアタックサーフェス」の調査・可視化に近い役割を担う。

また、それぞれがオプションとして提供している「セキュリティアナリストミーティング」に関しても、アタックサーフェス診断が公開IT資産に特化して解説する一方で、海外脆弱性診断では内部のIT資産について深掘りする。オプションとして追加することで、各調査レポートの理解促進や、本社IT担当の代わりとして海外拠点へのセキュリティ課題の周知に役立つだろう。

役割や使い方の異なるアタックサーフェス診断と海外脆弱性診断だが、複数の海外拠点を持つグローバル企業の場合の進め方の一例として以下のような形がある。

1. 低価格かつ対象拠点との事前調整が不要で実施できるアタックサーフェス診断を先に行い、グループ全体の公開IT資産を調査する
2. アタックサーフェス診断を精査しセキュリティに課題がある拠点を抽出する
3. 対象拠点の内部IT資産に対して、海外脆弱性診断を実施
4. セキュリティアナリストミーティングを行いリスクごとの対応方針を整理する
5. 優先度を決めて順次セキュリティ対策を実施する

もちろん、アタックサーフェス診断と海外脆弱性診断をどちらも全拠点で実施する場合もある。IT資産管理の行き届いている国内拠点の脆弱性診断では対象拠点を絞ることも少なくないが、未管理資産の多い海外拠点に関しては全拠点実施して、海外拠点経由のセキュリティリスクを可能な限り低減することが望ましい。

拠点別で見るアタックサーフェス診断と海外脆弱性診断の実践的な活用方法

海外拠点を起因としたセキュリティリスクを抑えるには、海外拠点に対してアタックサーフェス診断と海外脆弱性診断の2つを実施することが有効だ。しかし、コスト面や調査に対応するための人的リソースなどを考慮して、アタックサーフェス診断と海外脆弱性診断を以下のように使い分けることもある。

上記の通り、アタックサーフェス診断は公開IT資産を短期間・低負荷で調査できるため、海外拠点全体の定期的なリスク調査の用途に適している。一方で、海外脆弱性診断は事業規模やグループ全体への影響度などを鑑みて、拠点ごとに実施するか否か判断する場合もあると覚えておきたい。

海外脆弱性診断の調査プロセスと注意点

海外脆弱性診断の診断プロセスは以下の通りである。調査にあたってファイアウォールの一部設定変更やテストスキャンなどに対応する必要があること、お申込みからレポート提供やセキュリティアナリストミーティングまで、1拠点あたり1ヵ月程度を要する点には留意してほしい。

海外脆弱性診断の調査プロセス

また、海外脆弱性診断では調査に際してIPsec設定などが必要なため、アタックサーフェス診断と比較すると担当者の工数負担がかかる。そのため、本社の基幹システムと接続している拠点などに実施を絞るなど、拠点のグループ全体への影響度を鑑みて検討を進める場合もある。

海外脆弱性診断でグループ全体に波及するセキュリティインシデントを防止

最後にここまでの振り返りとして、IIJの海外脆弱性診断の活用方法を整理する。以下のようなケースは、海外脆弱性診断を活用できる可能性が高いだろう。

1. 公開IT資産の調査の結果、セキュリティ管理上課題のある可能性が高い拠点を、未管理資産含む内部のIT資産のセキュリティ管理状態を調査したい
2. インシデント発生時に被害がグループ全体へ波及しないために、顧客情報などのデータを各拠点とやり取りしている拠点のリスクの有無をあらかじめ調査したい
3. 本社・海外拠点に対して、課題解決の施策提案と実行まで支援して欲しい

また、大切なのは海外脆弱性診断やアタックサーフェス診断で明らかになったセキュリティ課題を放置せず、検出されたリスクに対して優先度順に対策を進め、海外拠点含むグループ全体をサイバー攻撃から守ることだ。

行武は「IIJでは今回の海外脆弱性診断をはじめとした調査サービスからそこに対応するセキュリティソリューションまで充実しています。海外脆弱性診断やアタックサーフェス診断でセキュリティ課題を明らかにしたうえで、その課題解決の施策提案と実行まで一気通貫でお任せください。また、施策実行後の運用保守においてもお手伝いさせていただけたら幸いです」と語る。

行武が語る通り、IIJのグローバル企業向けのセキュリティソリューション・サービスは多岐に渡る。海外脆弱性診断をはじめとした提供中のサービスについてはIIJの各サービスページにて確認いただくほか、問い合わせフォームからもお気軽に質問などいただければ幸いだ。