肥後銀行のリスク管理戦略の高度化に向けて - Tenable Oneで実現した脆弱性管理の自動化と、優先度の明確化

株式会社肥後銀行

導入製品/サービス…: Tenable

株式会社肥後銀行様_メイン画像

株式会社肥後銀行は、行内CSIRTを中心にサイバーセキュリティ対策を推進しています。セキュリティロードマップを策定し、その中で脆弱性管理を重要な課題として位置づけ、自動で管理ができるTenable One を導入。また運用ルールも併せて整備したことで、脆弱性管理を推進する担当者と、運用対応者が協力しやすい体制を築きました。

株式会社肥後銀行様_お客様ロゴ画像

「アシストの迅速かつ丁寧なサポート対応に満足しています。今後は、Webサイト診断の内製化や、CSPMによるクラウド基盤監視など、Tenable Oneによる対策範囲を拡大していく予定です」

株式会社肥後銀行　IT統括部IT企画・管理グループ
　　　　　　　　　　　　企画役　古庄伸一氏

課題／背景

脆弱性情報を複数サイトから手作業で収集するため、時間がかかる上に収集量に限界があった。また、IT資産とのマッチングも目検で実施していたため数日を要していた
脆弱性の洗い出しは月1回程度の実施に留まり、迅速なリスクへの対処が難しい状況になっていた
脆弱性の対応要否や優先度は、CVSSの基本スコアのみで判断。対応方針が明確でなく、できる範囲での対応に留まっていた

対策

Tenable Oneを導入し、脆弱性情報の収集・IT資産とのマッチングを自動化
情報収集とマッチング作業の自動化により、脆弱性の洗い出し頻度を月1回から週1回に引き上げ
独自のリスクベース指標（以下、VPR*）で、優先度の高い脆弱性の絞り込みを実施。対応方針をVPRと資産重要度のマトリクスで定義し、明確化

効果

情報収集とマッチング作業を自動化したことで、運用負荷を削減しつつ検出精度も向上した
脆弱性の洗い出し頻度が上がったことにより、迅速なリスク対処が可能になった
対応方針を明確化することで、現場が協力し合える体制を確立。その結果、全システムを対象に優先度の高い脆弱性から対応できるようになった

※ _{VPR：Vulnerability Priority Ratingの略称。実際に攻撃を受けやすいかどうかなどの観点を加えて算出される、Tenable社独自の脆弱性評価スコア。VPRを用いると、重要と判断される脆弱性の数はCVSSと比べて約3％に絞られるため、緊急対応が必要な脆弱性に絞って効率的に対応でき、工数を大幅に削減することが可能。}

概要図

お客様の声

Tenable Oneの導入により、誤検知の問題なく脆弱性を正確に検出できるようになりました。アシストサポートセンターには、Tenable Oneの環境構築や脆弱性検出の設定方法などで技術支援を受けました。また、検出した脆弱性の対応方法についても豊富な知見から的確なご助言をいただき、迅速に対応できており大変満足しています。

株式会社インターネットイニシアティブ様には、どの脆弱性を優先して対処すべきかの運用体制の構築に際してご支援をいただきました。

両社のご支援により脆弱性対応方針が明確になり、セキュリティ管理の効率も大幅に向上しています。今後はCSPMや監査対応などについても、アシストへ相談しながらTenable Oneの活用範囲を拡大していく予定です。

システム概要

取材協力

株式会社肥後銀行
IT統括部IT企画・管理グループ
企画役　　古庄伸一氏
　　　　　樋口潤　氏
　　　　　澤井聖奈氏

株式会社インターネットイニシアティブ
九州支援技術部
サイバーセキュリティサービス課
チーフテクニカルマネジャー
　　　　　西村友宏氏

※本事例は取材時の内容に基づくものです。
※製品内容は、予告なく変更される場合があります。
※記載されている会社名､製品名は、各社の商標または登録商標です。

Tenable について詳しく知りたいならこちら

Tenable の「対応範囲」がよくわかる Tenable製品ラインナップ資料を
ダウンロードする

費用感や活用イメージがわかる無料で問い合わせる

お客様情報

※お客様情報は取材時の内容に基づくものです。

会社名	株式会社肥後銀行
本社	熊本県熊本市中央区練兵町1番地
設立	1925年7月25日
URL	https://www.higobank.co.jp/
取材日	2024年08月