さらなるセキュリティ対策強化へ。課題は、攻撃者に近い視点から定期的に脆弱性を可視化すること

1. 企業紹介

―まずは、御社のご紹介からお願いします。

平井様：私たちはイオングループの一員として、ペット用品販売店の運営、ペット関連商品のECサイトでの販売や、動物病院やグルーミングサロン、ペットホテルといった施設の運営など多角的な事業を展開する企業です。

ペットに関わるあらゆるニーズに質の高いサービスや商品でお応えし、ペットとペットオーナーさまの暮らしを支え「動物と人間の幸せな共生社会」を実現することを目指しています。

執行役員　情報システム本部長　平井丈裕様

2. 導入前の状況と課題

―「MS&ADサイバーリスクファインダー」導入以前の、セキュリティ対策にまつわる取組の状況を教えてください。

沢登様：当社のITインフラ領域を取り扱う情報システム本部 ITサポート部インフラチームにおいて、情報システム全体のセキュリティ体制の維持・管理を担っています。

事業会社としてはもちろん、イオングループの一員としても高いレベルのセキュリティ対策が求められており、グループの基準やルールに則ったリスク評価や教育をはじめとしたさまざまな施策を実施してきました。

情報システム本部　ITサポート部　沢登康弘様

―どのような背景からASMツールの導入を検討されたのでしょうか？

平井様：当時「IT資産のセキュリティ状況の可視化」という観点で行っていた施策として、Webサイトやプラットフォーム等に対する脆弱性診断があります。イオングループとしての対策基準は満たしているものの、セキュリティには「ここまでやれば大丈夫」というゴールはありませんから、さらなる対策強化に向けて他に何ができるかを検討していました。

検討において特に重視したのは、脆弱性診断とは異なるアプローチをすることです。一時的に診断を実施するのではなく、定期的に状況を可視化できる環境を構築すること、よりハッカーの視点に近い非定型的なリサーチに基づいてリスクを把握することが必要だと考えました。

これらの観点と、外部の方のお力を借りてできる限りコストや工数をかけずに対策を実施したいとの考えから着目したのがASMツールです。

リスクとその推移、行うべき対策が専門家でなくても一目で分かる、質の高いレポートが導入の決め手

3. 選定プロセスと導入の決め手

―「MS&ADサイバーリスクファインダー」を導入いただいた決め手はどのような点でしょうか。

沢登様：最初に、サンプルのレポートをもとにサービスについてご説明いただきました。魅力に感じたのは、レポートが大変見やすく、「リスクがあるか」「前月と比べて変化はあるか」「自分たちが次に何をしなければいけないのか」というポイントが分かりやすい点です。

平井様：私たちはあくまでも事業会社の中の一情報システム部門であり、すべての担当者がセキュリティのスペシャリストというわけではありません。そうした中で、専門的な内容を並べ立てることなく分かりやすくまとめられた資料があることは、社内で情報共有する際の大きなメリットになります。

担当者が見て理解でき、さらにそれをもとに経営層に対してしっかりと説明し理解を得ることもできるのではないかと期待を感じました。

沢登様：そうした質の高いアウトプットがありながら踏み出しやすい料金設定であったこともあり、検証期間を設けることなく導入を決めました。MS＆ADサイバーリスクファインダーはドメイン単位で診断をするため、特に守るべき情報は何かを考え、お客さまの大切な個人情報をお預かりしているECサイトのドメイン診断からまずは運用を開始しました。

ご評価いただいたMS＆ADサイバーリスクファインダーの診断レポート
（写真はサンプルレポートです。イオンペット株式会社様の診断レポートではありません）

時間や業務負担をかけることなく、セキュリティ対策強化が実現

4. 導入による成果

―「MS&ADサイバーリスクファインダー」導入による成果や、ご評価についてお聞かせください。