事例
エンジニア領域の様々な技術課題に
対応しています。
地域密着型スーパーマーケット運営企業のセキュリティ戦略『RiskVz』で外部からの攻撃対象となるアタックサーフェスを可視化(富士シティオ株式会社さま)
神奈川県を地場とするスーパーマーケットを運営している富士シティオ株式会社(以下:富士シティオ)。 セキュリティ対策の一環としてパーソルクロステクノロジー株式会社(以下:パーソルクロステクノロジー)が提供する『RiskVz』を導入いただきました。2022年の初回診断、2024年の再診断を経て、得られた効果や今後の課題について、情報システム課の竹下 憲課長に伺いました。
富士シティオ株式会社 情報システム室 情報システム課 課長 竹下 憲さま(前列 中央)と従業員の皆さま
(後方左端、右端はそれぞれ、パーソルクロステクノロジー株式会社 セキュリティ本部 岡田、関口)
取材日:2024年11月13日
- 所属・役職は取材当時のものです。
| 課題・背景 | セキュリティ対策の進み具合など、他社との比較を確認したかった |
|---|---|
| 結果 | 初回に『RiskVz』で行った診断をもとに指摘部分を改善し、2年半後に2回目を実施したところ、さらに良い結果だった。『RiskVz』の良い点は、問題提起をして終わりではなく、最初にサマリーでまとめをして、具体的な改善策を出すところ。ツールでなく専門家が客観的な指摘をするサービスである点を評価 |
| ご要望と今後の展望 | 改善を進めた結果、情報漏えいなどの事故は発生していない。今後は内部視点でのITリスクに対する診断があれば活用を検討 |
背景:パーソルクロステクノロジーとの出会いとセキュリティ対策への考え方
──まず富士シティオさまの業務や特徴について教えてください。
竹下 憲さま(以下:竹下さま):当社は、創業が1952年の神奈川県を地場とするスーパーマーケットです。現在、48店舗を運営しています。従業員数はパートナーの方を含めて約4,500人です。
──富士シティオさまには、4年ほど前からパーソルクロステクノロジーのエンジニアが常駐してセキュリティ対策を含めたIT支援をさせていただいております。やはり会社としてセキュリティ対策は重視されていますか?
竹下さま:正直に言いますと、パーソルクロステクノロジーに支援していただくようになってから注力し始めたという状況です。それまでもセキュリティ対策が大切なことは分かっていたのですが、導入したプロダクトをそのまま使えば大丈夫だろうといった感覚でした。セキュリティ事故についても、記事やニュースに聞くレベルの理解度でした。
富士シティオ株式会社 情報システム室 情報システム課 課長 竹下 憲さま
──4年前ですとちょうど新型コロナ流行の時期でしたよね。
竹下さま:コロナの流行が始まった当初はとにかく業務の継続を第一に考え、リモート接続型の製品を導入しました。
その後、パーソルクロステクノロジーによりVPN導入から構築・運用まで行っていただいたことにより、安全にコロナ禍を乗り切り、さらにははたらき方の変容にまで対応できたと感じています。現在ではWeb会議も増え、社外で仕事をすることが普通の手段として定着しました。
──セキュリティ支援で重視されているポイントはありますか?
竹下さま:守るべきポイントはそれほど多いわけではありません。お客さま・従業員の個人情報が中心で、それに加え業績などの社内資料などがあります。これらの情報が漏えいしないことが重要であると考えています。
経緯と結果:『RiskVz』導入の経緯と結果、良かった点などについて
──『RiskVz』を導入されたきっかけを教えてください。
竹下さま:すでにパーソルクロステクノロジーからさまざまなセキュリティ対策支援を受けていたのですが、その中で「社外の環境から当社がどのように見えているのかを診断するサービスがある」という話を聞いたのがきっかけです。
当時は当社のセキュリティ対策の状況が他社に比べてどのようなレベルにあるのかが分からないという悩みがあり、本サービスを導入してみることになりました。
──1回目の診断が2022年春くらいの実施です。結果はどのように受け止められましたか?
竹下さま:一番大きかったのは外部に委託している一部のシステム環境が老朽化していて、そこをご指摘いただいた点です。それ以外の部分については、パーソルクロステクノロジーにさまざまな点で取り組んでいただいた背景もあり、診断結果はそれほど悪くないという印象でした。
パーソルクロステクノロジー セキュリティ本部 セキュリティアウトソーシング2部 技術4G リーダー 岡田
岡田:少し補足しますと、スーパーマーケット業界は、各店舗との専用線接続をVPNで行うことが基本になっています。そしてその専用線網を基本として、そこから足を広げて、いろいろなもの(POSシステムなど)をつないでいくのがベースになっています。その中で富士シティオさま単体がセキュリティ対策を行うべき専用線網内の部分にはほとんど問題がなく、アウトソースしている部分、つまりこの専用線網の中にないシステムの部分で多少指摘が入った形です。
指摘が入った部分については、私たちセキュリティ支援のチームがそこを中心に改善支援を行いました。例えばDNS関連は、DNSサーバーからドメインに至るまで、契約から構成まで全て入れ替えました。社内にあったDNSサーバーをアウトソースする形にして、なるべくお客さまの負担にならないように移管をしていきました。
──『RiskVz』の診断サービスの良かった点はどこですか?
竹下さま:最初に概要がまとまっており、その後に具体的な改善策が示される点です。しかもその改善策がアウトソース先の専門家にそのまま伝えても理解できる形になっているところです。このように問題提起をして終わりではないところが良いと思います。
『RiskVz』は単なるツールではなく診断サービスです。担当者がツールを使って自分で診断するとその人のレベル感によって結果の見方も変わってしまうので、サービスとして専門家が客観的に指摘してくれる点が良いですね。
提出するサマリーのイメージ
──『RiskVz』は対象ドメインを伝えるだけで簡単に診断が受けられるというメリットもあります。診断結果の報告は分かりやすかったですか。また診断結果を受け取ったあとは各部署に展開されましたか?
竹下さま:対象ドメインを伝えるだけですので、特に手間もありませんでした。診断結果を受け取った後はその改善策に従って、内部的な改善や、委託ベンダーにお願いするというアクションをとりました。診断結果は、社内には少々噛み砕いて共有しましたが、基本的には各関係部署への説明にそのまま使っています。
──そして2024年夏に2回目の『RiskVz』診断を導入いただきました。
竹下さま:診断は1回目と比較して良い結果となりました。これはある程度想定通りで、その通りの安心感を得られました。2回目の診断はどちらかというと健康診断的な感覚でした。悪いところが少なくなったということで、ここまでやってきたことが正しかったことを再確認できました。
2回目の診断ではアウトソースしている部分で、いくつか具体的なご指摘をいただいたので、指摘を受けたということを該当部門に報告しています。
──『RiskVz』をご利用いただき、それをもとに対策を行って、ITリスクが減少したという実感はありますか?
竹下さま:やはりITリスクはかなり低くなったと思います。また『RiskVz』の導入はもちろん、パーソルクロステクノロジーのご支援も含め、色々と対策してきたものを積み重ねて、リスクが軽減している、侵入しにくくなっていると実感しています。
ご要望と今後の展望:内部からのITリスク診断も考えていく
──他の脆弱性診断とは異なり、『RiskVz』は対象となるドメインを元に、攻撃者目線で外部公開資産に潜むリスクを可視化するサービスです。そのほかのセキュリティサービスのご要望などございますか?
竹下さま:例えば仮にランサムウェアに感染してしまったときにどういう対応が必要なのかを、BCP視点でアセスメントする商品があれば良いなと思っています。例えば神奈川県警にも専門の窓口があると教えていただいたことがあるのですが、事故が起きたときはすぐに有効な対応が取れないことが想定されます。そのようなときに緊急出動していただけるとか、もしくはアドバイスいただけるなどのサービスがあれば良いと思います。
岡田:セキュリティ対策は、どういう順番で優先度を付けて整理していくのか、どういう順番でお伝えしていくのかは、すごく悩ましいところではあります。『RiskVz』は外部からの攻撃に対するリスクを把握するアセスメントですが、攻撃された後にどうなるかのアセスメントやシミュレーションなどは、専門部隊が別途対応可能となっています。
──最初に「情報の漏えいを防ぐ」ことを重視されているとお聞きしましたが、それは達成できていますか?
岡田:富士シティオさまの場合、情報の入り口・出口の整理を踏まえ、優先度の高い重要な行動のポイントとしてのネットワークとエンドポイントのセキュリティに関してはすでに仕組み化ができていて、それをもとに運用し、端末の管理もできるようになってきています。基本的に大枠として守るべきところは守れています。
竹下さま:幸い今までインシデントは発生していません。当社では数年にわたり伴走していただいている方がいるので、内部的な事情も踏まえて守るべきところを理解できているのですが、事情が異なる企業さまもいらっしゃると思います。
外からだけではなく社内環境を診断した結果、問題点を具体的に指摘していただくことも重要かと感じます。例えば「社内のファイルサーバーの状態が良くない」ですとか「セキュリティのレベルが低い」などと指摘された方が対策につながりやすいと感じるので、そういった内部からの指摘ができるメニューがあると良いかなと思います。
──最後に今後の要望をお願いします
竹下さま:『RiskVz』は改善のきっかけの一つで、結果や指摘を受けたものの、対応できる要員がいないといった場合にパーソルクロステクノロジーが支援するという連携ができると良いのではないかと思います。診断にとどまらずパーソルクロステクノロジーの総合力を活かしていただけるとさらに有効なものになると思います。
この記事をシェアする
関連サービス
