事業を止めずにセキュリティを高めるための考え方と手法の整理が重要に

IT連携やIoT機器の増加など守るべきポイントが増えている

長谷川 弘幸氏（以下、長谷川） ：ありがとうございます。OTシステムでも、ITシステムとの連携やIoT（モノのインターネット）機器の増加など、社内ネットワークの外部にも守るべきポイントが増えています。それらをすべて把握し、脅威の入口（アタックサーフェス）や脆弱性などを管理するには、現時点では悩ましい点が多々あるのが実情ではないでしょうか。

土屋 拓仁 氏（以下、土屋） ：高砂熱学工業 情報セキュリティ部の土屋 拓仁です。当社では、ASM（Attack Surface Management）と脆弱性診断の内製化の2本立てで対応しています。ASMは、インターネットからアクセス可能なIT資産の情報を調査し、それらに存在する脆弱性を継続的に評価する仕組みです。無料のネットサービスもあります。当社の状況を調査したところ、海外のグループ会社などで問題になりそうな箇所が発見され、有効性を感じています。

写真2：高砂熱学工業 情報セキュリティ部の土屋 拓仁 氏。高砂グループでセキュリティの企画運営や脆弱性の診断、CSIRT（Computer Security Incident Response Team、インシデント対応チーム）や、インシデント検知の仕組みであるSIEM（Security Information and Event Management）の運用を担当している

　脆弱性診断については、IPA（独立行政法人情報処理推進機構）が年に1回の定期診断を推奨しています。すべてをベンダーに依頼するのは難しい面もあり、一部の内製化に舵を切りました。

長谷川 ：最近はクラウド利用も増えています。

横澤 祐貴 氏（以下、横澤） ：日鉄ソリューションズ（NSSOL）ITサービス&エンジニアリング事業本部の横澤 祐貴です。クラウドの場合、設定ミスが多いというのが私の実感です。クラウドは立ち上げやすいため、エンジニアが見よう見まねで立ち上げることが多く、必要な設定が漏れてしまうケースが多いようです。

写真3：日鉄ソリューションズ（NSSOL）ITサービス&エンジニアリング事業本部の横澤 祐貴 氏。日本製鉄をはじめ企業のセキュリティ施策の推進支援や、IT／OTに関するセキュリティコンサルティング、インシデント対応などを担当している

　今後は、クラウド自体の安全性や脆弱性も問題になると思います。それらを総合的にチェックするツールなどが登場してきています。

土屋 ：どういったツールを活用していますか。

横澤 ：IaaS（Infrastructure as a Service）の設定をチェックするCSPM（Cloud Security Posture Management）や、SaaS（Software as a Service）のアプリケーション設定不備やベンダー側のコンプライアンスなどをチェックするSSPM（SaaS Security Posture Management）などです。