主に自動車部品の開発・製造・販売を事業とするアイシン精機。同社をグループ本社とするアイシングループは世界に約200社を擁する巨大組織だ。アイシン精機はWebサイトの改ざん検知サービスとして「GRED Web改ざんチェック Cloud」を導入し、4層構造を持つ約200社すべてのWebサイトの改ざん検知を一元的に行えるようにした。GREDは誤検知が少なく、管理画面がわかりやすいため、情報システム部門の業務負担も少ないという。

予防・防御・検知の3つの施策でWebサイトのセキュリティを強化

クルマの走行状況に応じてギアを変更するトランスミッション。エンジンから出力される駆動力をタイヤへ伝える重要な部品だ。そのトランスミッションで業界一のラインナップを揃えるのがアイシン精機である。同社をグループ本社とするアイシングループは世界約200社からなる総合自動車部品メーカーで、住生活やエネルギー関連などの事業にも展開している。

アイシングループのグループ会社ではそれぞれ公式Webサイトを運営しているが、グループで統一したWebサイトの運営規定はあったものの、実際の運用はそれぞれのWebサイトの管理者に委ねられ、運営状況を一元的に把握することができなかったという。

アイシン精機株式会社 グループITマネジメント部 情報セキュリティ推進室 大西裕之氏

アイシン精機株式会社 グループITマネジメント部 情報セキュリティ推進室 大西裕之氏

アイシン精機 グループITマネジメント部 情報セキュリティ推進室の大西裕之氏はこう説明する。

「Webサイトのセキュリティを強化する目的で約200社すべてのWebサイトを一元管理する取り組みを始め、現在も進めています」

アイシングループは製造した製品を企業に販売するB to B企業だ。B to C企業のように、数多くの人が同社のWebサイトを訪れるというわけではない。それにも関わらず同グループがWebサイト改ざん検知に取り組む理由を大西氏は次のように説明する。

「インターネットに公開したWebサイトは誰が閲覧するかわからないし、どんな攻撃を受けるかもわかりません。もし攻撃を受けて改ざんされた場合、アイシングループが被害に遭うだけでなく、マルウェアの感染経路となってしまうこともあるのです。これに関してはB to C企業もB to B企業も関係ありません」(大西氏)

2018年10月にアイシン精機は、アイシングループ全体のWebサイトのセキュリティ強化に着手した。

「予防のための脆弱性チェック、防御のためのWAF(Web Application Firewall)の導入、さらにWAFなどの防御策が突破されて攻撃を受けた場合の改ざん検知という3つの対策を施すことを計画しました」(大西氏)

これらの対策を国内のグループ会社80社が運用するおよそ80のWebサイトから開始し、Webサイト改ざん検知については海外のグループ会社も含めた約200社で進めている。

リーズナブルな料金でシンプルかつ使いやすい機能を搭載

Webサイト改ざん検知のためのツールを探し始めたのは2019年の夏のことで、クラウドサービスをベースに検討したというが、セキュアブレインの「GRED Web改ざんチェック Cloud」(以下、GRED)採用の決め手は大きく4つあった。

1つめは多層構造のWebサイトを一元管理できること。管理するWebサイトの階層は上から①グループ本社、②世界に3つある総括会社、③約200のグループ会社、④グループ会社のWebサイト管理者という4層構造になっている。

「グループ本社はすべてのWebサイトの情報、統括会社は管理しているグループ会社のWebサイトの情報、グループ会社は自社のWebサイトの情報、Webサイト管理者は自分が管理するWebサイトの情報だけを見られるようにしたかったのです」(大西氏)

GREDならば大規模管理画面で階層的な管理が可能だ。グループ本社と統括会社、グループ会社、Webサイトの管理者のそれぞれに必要な情報を提供し、アラートも送信できる。

「実はGREDでそういった管理を行うことは難しいという話でしたが、打ち合わせを重ねる中でセキュアブレインの担当者が当社の要件をよく理解し、GREDの仕組みで管理できるように対応してくれました」(大西氏)

2つめの決め手は英語に対応していることだ。グループ会社約200社のうち130社超は海外に本社を構えており、日本語でしか使えないサービスはアイシングループでは利用できない。また、3つめの決め手はリーズナブルな料金設定である。

「サービス利用料は各グループ会社が支払うことになるため、料金が高いサービスだと受け入れてもらえません。GREDは料金設定がリーズナブルなので各社に掛かるコストを抑えられます」(大西氏)

4つめの決め手はシンプルかつ使いやすい機能である。たとえばGREDは「ヒューリスティック検知」という仕組みを採用している。多くのWebサイト改ざん検知ツールが採用する「ファイル差分比較検知」は更新前のデータと更新後(改ざん後)のファイル情報を比較して検知する。テキストの変更や画像の差し替えといった細かな差分を検知できる一方、必要以上に検知する「過検知」が起き、アラートを数多く発報することで管理者の業務を遮ることにつながる。他方、ヒューリスティック検知は更新後(改ざん後)のコンテンツを分析し、不正なプログラムやURLを検知する。そのため過検知が少なく、管理者が必要とするアラートだけを発報することができるのだ。

「万が一改ざんを検知した場合、セキュアブレインに連絡すれば悪性の改ざん検知なのか誤検知なのかを判断してくれるというのも大きなポイントでしたね。セキュアブレインはエンジニアが多いのでそういった判断ができるのでしょう」(大西氏)

情報システム部門のスタッフならば簡単に設定できる

アイシン・インフォテックス株式会社 IT基盤部 セキュリティグループ 坂井暁氏

アイシン・インフォテックス株式会社 IT基盤部 セキュリティグループ 坂井暁氏

アイシン精機は2019年12月にGREDを採用し、2020年1月にGREDの本稼働を開始。導入決定から本稼働までにかかった期間は2週間ほどだったという。アイシングループで展開しているセキュリティ対策サービスの仕様策定やグループ各社への導入、運用を担当するアイシン・インフォテックス IT基盤部 セキュリティグループの坂井暁氏はこう話す。

「グループ会社にGREDを導入する際、コンソールの使い方などを説明しましたが、設定がシンプルで、かつ機能も過不足のないものなので、説明資料が作りやすく、説明するのにも苦労しませんでした。わからないことをセキュアブレインに問い合わせると丁寧に説明してくれましたし、必要な機能を追加してもらったこともありました。セキュアブレインの対応には満足しています」(坂井氏)

GREDの設定の仕方についても「申込書に対象となるシステムの情報を記入してセキュアブレインに渡せば設定してもらえるので、パラメータの設定を変えるだけで作業が終わります。情報システム部門のスタッフであれば、誰でも簡単にできる作業内容だと思います」と坂井氏は高く評価する。

2020年11月には国内のグループ会社すべてにGREDを導入し、Web改ざん検知が行える体制を整えた。現在は海外のグループ会社への導入に取り掛かっている。すべてのグループ会社にGREDを導入すれば、Webサイトの改ざん検知をCSIRTで一元管理できるようになる。

「アイシングループのWebサイトを閲覧してくださる方に、当グループのWebサイトは安全なので、安心して閲覧してくださいと胸を張って言えることが私たち情報セキュリティ推進室の目標です。GREDを全社導入することで、そこに近づけるのです」(大西氏)

Webサイトが改ざんされる危険性はB to B企業にもある

副次的な効果として、GREDはセキュリティ以外の面でも同グループのWebサイト運営にも貢献している。たとえばWebサイトがダウンしていることが通知され、閲覧者に不便を強いることを逃れたことが一度あったという。リンク切れ検知機能も有効だ。「ニュースのリンクが切れているのが検知されたことがあって助かりました」と大西氏は笑みを見せる。また、セキュアブレインの提案やサポートについてもこう評価する。

「クラウドサービスではユーザ企業の要望が通らないことが多いのですが、セキュアブレインは当社の要件にフレキシブルに対応し、いろいろと提案してくれました。とても柔軟性のある企業だと思います」(大西氏)

坂井氏はセキュリティサービスの導入をサポートするシステムインテグレータのスタッフとしてこう話す。

「GREDは設定しやすく、導入するのにもハードルが高くありません。セキュアブレインのサポートも手厚いので、Webサイト改ざん検知サービスの導入に躊躇している企業は気軽に相談してみるといいのではないでしょうか」(坂井氏)

前述の通り、アイシングループの顧客のほとんどは企業だ。だが、「CASE」と呼ばれる新しい領域で技術革新が進む中、クルマの概念は大きく変わろうとしている。

「これからビジネスがまったく変わる可能性が十分にあります。現在はB to B企業のアイシングループも将来、B to C企業に変わるかもしれません。そのときになってWebサイトのセキュリティ強化を始めても遅いのです。Webサイトのセキュリティ対策を万全に行っておき、あとは本業に集中できればいいという状態にしておくのが、私たち情報セキュリティ推進室の役目だと思っています」(大西氏)

Webサイトが改ざんされる危険性があることにB to B企業もB to C企業も関係ない。Webサイトをインターネットに公開する以上、しっかりとした対策が必要になる。しかも将来はB to B企業やB to C企業という分類さえ意味をなさなくなる可能性があるのだ。アイシン精機の先を見据えたセキュリティ対策は、“現在のB to B企業”に多くの示唆を与えてくれる。

[PR]提供:セキュアブレイン