厳しいセキュリティガイドラインに、Tenable.io
(現:Tenable Vulnerability Management)による脆弱性管理で対応
ユニゾン・キャピタル株式会社
- 導入製品/サービス…
- Tenable
|
プライベート・エクイティ・ファンド運営会社であるユニゾン・キャピタル株式会社では、厳しいセキュリティガイドラインを満たすための脆弱性管理を行っていましたが、管理ツールの運用や操作性に苦労していました。アシストの紹介するTenable.io にリプレースすることで、少数精鋭で多忙な情報システム部門でありながら、効率的に精度の高い脆弱性管理を遂行できる体制を確立しました。 |
|
導入のPOINT
1.厳しいガイドラインに沿った脆弱性管理の運用が、Tenable.ioを導入することで実現
2.わかりやすいインターフェースとSaaS提供という利便性により、運用工数を大幅削減
3.少数精鋭で多忙な中でも、精度の高い効率的な脆弱性管理体制を確立
課題
- オンプレミス上の脆弱性管理ツールと、そのサーバの保守運用に工数がかかっていた
- 脆弱性管理ツールでは、どの脆弱性から優先的に対応すべきかという判断が困難で、調査に時間を要した
- 複数サーバから情報取得するためのツールの不具合でタイムリーに脆弱性の把握ができないことがあった
対策
- SaaSで提供されるTenable.ioを採用し、ツールとサーバの保守運用工数を削減した
- Tenable.ioの、脆弱性をスキャンする機能、管理機能、レポート機能を包括的に活用した
- 複数サーバからの情報をTenable.ioに集約し、タイムリーに脆弱性の把握ができる環境を整えた
効果
- サーバの運用保守やレポート作成作業ではなく、脆弱性への対処という、本来の業務に時間が割けるようになった
- Tenable.io独自のスコアリングによる脆弱性の優先度付けと対処で、厳格なセキュリティガイドラインに対応できた
- ツール間連携ミスからの脱却により、人手を介さないタイムリーな脆弱性の把握が実現できた
システム構成イメージ
|
使い勝手に課題があったオンプレミスの既存脆弱性管理ツール
ユニゾン・キャピタル株式会社は、主にヘルスケア、コンシューマーおよびB2Bサービス分野の中堅企業への投資を行う、プライベート・エクイティ・ファンド運営会社です。創業以来20年以上にわたる投資活動を通じて培ったノウハウやネットワークを駆使し、投資先企業の成長をサポート。それらは経営チームの強化、成長戦略の策定とその遂行に必要な資金・リソースの提供、デジタルを活用した企業改革などと多岐にわたります。
韓国、シンガポールにも活動拠点がある同社では、別の子会社も合わせて4つのオフィスの情報システムを、2名のIT責任者で管理しています。セキュリティに関してはそれぞれの国に金融ガイドラインがありますが、同社は最も厳しい基準を持つシンガポールのガイドラインに沿って運用を行っています。
2016年から日常的な脆弱性管理を開始したのもその一環です。オンプレミスで構築した管理アプリケーションで、脆弱性検知スキャナーである「Nessus」の情報を見ることができる脆弱性管理ツールを構築しました。しかし、これは使い勝手に問題がありました。オンプレミスのシステムだったため、サーバ管理やツールのメンテンナンス作業が必要だったことと、管理アプリケーションのインターフェースがわかりにくく、情報の確認に時間を要しました。さらに、夜間処理として設定していた、Nessusと管理アプリケーション間の連携処理もうまくいかず、ユニゾン・キャピタル株式会社 IT・ファシリティ 藤原和幸氏としては、夜間処理の成否を常に気にかける状況で、自宅からのリモート対応なども発生していました。
操作性に優れ、脆弱性検出スコープも広いTenable.ioを採用
そうした中、アシストが脆弱性管理製品「Tenable.io」を紹介しました。Nessusをベースとした上位製品であることは既に知っていたため好感触を抱き、数台のWindowsサーバを対象に早速PoCを実施。環境構築はアシストだけではなくTenable社のエンジニアもサポートしたため、極めて順調に進みました。検証の結果、同社はTenable.ioの採用を決定します。その理由を藤原氏は次のように語ります。
藤原 和幸 氏 |
藤原氏
インターフェースのデザイン性が高くてわかりやすく、使いやすいのがまず印象的でした。最も重視したのは操作性ですが、スキャン性能と脆弱性を検出できる対象製品の幅も評価しました。以前の脆弱性管理ツールではESXのようなミドルウェアは、Nessusでは標準対応していましたが、管理アプリケーションの方でオプション対応だったのです。Tenable.ioにすることで、サーバ群のみならず、ネットワーク機器やミドルウェアまでカバーできるようになるのが良いと思いました。さらに、クラウドで提供されるのも、サーバ管理から解放されるので喜ばしかったです。この機会に他社製品も比較検討してみましたが、上記の要件でTenable.io以上のものは見つかりませんでした。
この時点で、既存の管理アプリケーションの保守契約はまだ残っていましたが、契約期間満了を待たずに、Tenable.ioへのリプレースを決定しました。
Tenable.ioにより精度が高く効率のよい脆弱性対策を行える体制を確立
現在、同社の仮想化基盤にNessusをスキャナーとして配置し、サーバ群をはじめ約60の脆弱性検出対象をTenable.ioによりエージェントレスで管理しています。週に1回、自動スキャニングを行い、レポートをチェックして対応に当たっています。Tenable.ioでは、共通脆弱性評価システムである「CVSS」と、実際に攻撃を受けやすい脆弱性かどうかといった点などを観点に加えた、Tenable社独自のスコアの表示ができますが、藤原氏は高く出た値を見て対応に当たるといいます。大抵Tenable独自スコアの方が高く出る傾向にあり、より信頼できるスコアと評価しています。ユニゾン・キャピタル株式会社 IT・ファシリティ 木下浩一氏は、Tenable.ioの導入効果を次のように語ります。
木下氏
今まではGUIのわかりにくさや自動連携の不具合で、脆弱性レポートを作成する部分に時間が掛かり、レポートを見た結果で必要な対処をするという、本来の仕事にたどり着くまでの手間が非常にかかっていました。Tenable.ioの導入でそれがなくなり、本来やるべき業務にきちんと時間が割けるようになったことが、一番大きなポイントです。また、クラウドになってサーバ管理が不要となったことも、少人数で業務に当たっている私たちには必要な変化でした。 |
|
SaaSであるTenable.ioなら“外”からの脆弱性検出も可能
藤原氏はアシストのサポートに関してこう語ります。
藤原氏
2021年5月からアシストのサポートセンターにTenable.ioの質問ができるようになったのですが、回数を気にすることなく気軽に質問でき、また細かい内容にも丁寧に答えてもらってとても助かっています。
今後、同社では社員約50名の業務用端末であるPCも脆弱性検出対象に含めることも検討しています。現在、こちらについてはWSUSで十分なアップデート管理を行えていますが、より厳密かつ包括的に脆弱性管理を遂行可能なタイミングで移行する予定です。
長年スキャナーとしてNessusを利用し、Tenable.ioを使い始めた同社にはわかったことがあるといいます。
藤原氏
SaaS提供されるTenable.ioを使ってみて気づいたのは、クラウドであるため外側からも脆弱性検出が行えることです。攻撃者的な視点で、どれほど“ドア”が開いているかをチェックできることは脆弱性管理上有益なことで、これからTenable.ioを検討するという方には利用をお勧めします。
少数精鋭で多忙な中でも、金融機関ならではの厳しいセキュリティ基準を満たさなければならないユニゾン・キャピタル。同社のセキュリティ対策でTenable.ioが担う役割は、ますます重大になっていきます。
- ※ 本事例は取材時の内容に基づくものです。
- ※ 製品内容は、予告なく変更される場合があります。
- ※ 記載されている会社名、製品名は、各社の商標または登録商標です。
ユニゾン・キャピタル)様の事例記事(PDF)をダウンロード
本事例をまとめたPDF資料を今すぐダウンロードいただけます。印刷や社内共有等にご活用ください。
本事例でご紹介したお客様情報
※お客様情報は取材時の内容に基づくものです。
会社名 | ユニゾン・キャピタル株式会社 |
---|---|
概要 | 1998年に設立されたプライベート・エクイティ・ファンド運営会社です。主にヘルスケア、コンシューマーおよびB2Bサービスの分野に注力し投資活動を行っています。 |
本社 | 東京都千代田区紀尾井町4番1号 ニューオータニガーデンコート9F |
設立 | 1998年10月 |
資本金 | 1億円 |
従業員数 | 約50名 |
URL | https://www.unisoncap.com |
取材日 | 2021年11月 |
関連製品/サービス
Tenable
Tenableは、圧倒的実績の「Nessus」技術を中核とした専門性の高いサイバー攻撃対策ソリューションを提供します。Tenableブランドの製品は、世界中の公的機関や様々な業種、組織で、豊富な導入実績があります。
- 脆弱性管理
- Active Directoryの保護
- 外部アタックサーフェス管理(EASM)
- 2024.5.30アシスト、SaaS横断検索×チャット機能のAIアシスタント「Glean」で顧客サポート業務の高度化を実現
- 2024.5.20エア・ウォーター、グループ企業の経営情報を管理する基幹システムをOracle Cloud Infrastructureで刷新
- 2024.3.25日本オラクルとアシスト、エネルギー会社の全社データ利活用基盤をOracle Cloud Infrastructureで刷新
- 2023.6.27UQコミュニケーションズ、Oracle Cloud Infrastructureで事業継続性を強化
- 2023.6.15南相馬市、ネットワーク強靭化のリプレースに「InterSafe WebIsolation」を採用