2017年初頭よりフューチャーグループの一員として新たなスタートを切った株式会社ワイ・ディ・シー。創業以来、製造業向けシステムインテグレーションを強みとし、お客様視点を第一に考える姿勢で実績を積み重ね、数多くのお客様から厚い信頼を受けている。
お客様のシステムインテグレーションを手掛ける立場の同社では自社のセキュリティ対策についても重要視しており、最新の動向を踏まえたアップデートをおこなってきている。
【お話を伺った方】
株式会社ワイ・ディ・シー 情報・品質管理本部
マネージャ 松島 衛氏 (左)
田村 俊介氏(右)
課題と経緯
変化するセキュリティのトレンドへの対応策
「もともと今回のリプレイスの検討を始めたのは約1年半前の2015年になります。その当時導入していたサービスの契約更新が残り1年となったこともあり、それを契機にセキュリティ対策全体を見直す機運が社内で高まりました。世間的にもさまざまなセキュリティ関連の事件や事故が発生していて、情報収集を進めていました。
まず手始めにWAFを導入し対策を強化したものの、当時導入していたファイアウォールと合わせてもカバーできないレイヤーもありました。より強固な対策を引き続き検討している中で参加したのが、クエストさんのセキュリティに関するセミナーでした。」と株式会社ワイ・ディ・シー情報・品質管理本部の田村俊介氏は当時を振り返る。
当時はこれまでの「リスト型」から「標的型」の手法による攻撃が増大するなど、セキュリティ対策が大きな曲がり角に差し掛かっていた状況。2015年11月にマカフィー株式会社が発表した「2015年の10大セキュリティ事件ランキング」でも標的型の事件が数多くランクインしており、クエストが開催したセミナーもこうした世間の動向を受けて実施したものだった。
セミナーへの参加をきっかけにワイ・ディ・シーはクエストの脆弱性に関する無料診断を実施。その結果、諸外国からのランダムな攻撃の形跡が見つかるなど、これまで見過ごされてきた事象が可視化される診断となった。緊急性が高いリスクではないものの、長期的な視点を考慮し、先手を打っておく必要があるという判断に至り、ワイ・ディ・シーでは次世代型サービスの検討を始めた。
「当時はクエストさんだけでなく、もともと利用してきたベンダーをはじめ、ほかの会社のサービスも当然のことながら検討していました。しかし、ハードウェアベンダーの場合、製品とマニュアルを納品したらあとは私たちで頑張って運用していってください、というスタンス。
要するに納品がゴール地点なんですよね。その点、クエストさんはハードウェアの納品がむしろスタート地点で、そこからの運用こそが真骨頂と言えます。私たちは少人数で部署を運営しており、ハードウェアの運用を細かくやっているような余力はありません。
私たちの置かれた状況を踏まえた提案を出して頂き、一緒に解決に向けて動いてくれる、というクエストさんのスタンスは私たちの会社にとってはジャストフィットするものでした。」(株式会社ワイ・ディ・シー 情報・品質管理本部 マネージャ 松島衛氏)
導入
お客様のご要望に応じメニューをカスタマイズ
クエストが提供するセキュリティアウトソーシングサービス「Q-MSS」は一般的なセキュリティのアウトソーシングサービスと異なり、導入先の要望に応じてメニューをカスタマイズすることができるのが大きな特徴だ。ワイ・ディ・シーの場合、24時間監視は業態的にもオーバースペックとなるため、メニューから外している。
一方で、危険なアクセスの兆候などを検知した際には、業務時間外でも対応するなど、柔軟性を持たせている。
また、月次で提出するレポートは予算に応じて不要な項目を除外できる点がポイントとなっている。提出するレポートはクエスト内でまず精査し、セキュリティの懸念点が見つかった際はその都度導入先に報告と合わせてその対策を提案している。
例えば、レポートをもとに設定期間内の開放しているポートの動向をチェック。対策が必要な場合はチューニングを提案し、導入先はその提案内容について必要性の判断をすることになる。
今回のワイ・ディ・シーのケースでは、サービス自体に慣れてもらうことも兼ね、導入直後からしばらくの間、細かい報告をおこなった。しかし、ワイ・ディ・シーでは部署の所属人員が少人数のため、細かい報告は担当者の業務増に直結しかねない。そこで、導入からしばらく経過し、傾向が見えてきたタイミングを見計らい、大きなトピックが生じない限り、レポートのみ提出する、という運用に変更した。
「私たちはISMSを取得しており、CISOを設置しているなど、サイバーセキュリティについての社内体制は整備されています。しかし、部署の人数の割に業務範囲が広いため、レポートを通してインプットする情報も必要最低限に絞らなければ業務効率は悪化します。
セキュリティのプロフェッショナルであるクエストさんから提出されるレポートは総合的な視点を踏まえつつ、必要部分にフォーカスした内容となっているため、効率的に問題点を把握できます。
また、必要最小限のみのレポートで費用も抑制できているため、社内向けにもコストの無駄が生じていないことを証明できています。」(田村氏)
効果と展望
寄り添うサポート体制が課題を解決
ワイ・ディ・シーでは今回のリプレイスから半年が経過。月次のレポートを通して新たな課題が浮かび上がってきている。セキュリティリスクとしては低いものの、経営上あまり好ましくない状況であるため、クエストではその解決策を提案している。ほかにも、同時並行で進めているネットワーク機器のリプレイスなど、ワイ・ディ・シーからの相談範囲は着々と広がりつつある。
「サービス導入からまだ半年あまりではあるものの、これまでのサポートには非常に満足しています。ほかの分野でも同レベルのサービスを提供頂けるだろうという期待から社内での横展開につながっています。サポートのような人ありきの部分は実際に導入して一緒にやってみない限り、良し悪しは判断がつきません。
セキュリティという知識やノウハウの移り変わりが激しいシビアな分野で、私たちに寄り添ってサポートをして頂いたことは大きな信頼へと繋がっています。今後も引き続き、高いレベルでのサービス提供を望んでいます。」と松島氏からはクエストとの今後の展開に対し、期待の言葉を寄せて頂くことができた。クエストとしても、ワイ・ディ・シーのビジネスが安定して成長していくように、業務領域の拡大に合わせてさらなる体制の整備を進めている。
取材日:2019年9月11日
支社:大阪、名古屋