株式会社四国銀行様

金融機関における効率的・網羅的な脆弱性管理

昨今、金融業界を取り巻くサイバー犯罪、サイバー攻撃等の脅威は増しており、地域を支える金融機関として対策が求められています。この度、サイバーセキュリティ体制を一層強化するため、yamoryを導入していただきました。そこで、システム部 部長代理 豊田 明啓氏に、今回の導入の背景についてお伺いしました。

豊田氏：
近年高まっているサイバー攻撃による脅威などを踏まえ、当行は行内CSIRTを設置し、各種セキュリティ対策や対応訓練を実施しているほか、金融ISAC（※）へ加盟しての情報収集活動や要員の共同演習参加を通じて、実効性の向上に努めています。

脆弱性対策においては、脆弱性情報を金融ISACやIPAなどから手動で収集し、管理している台帳で該当部分を確認するなどの対応を行っていました。これらの対応には膨大な工数がかかっており、また管理が属人化してしまっている点に課題を感じていました。

※日本の金融機関によるサイバーセキュリティ情報連携のための組織として2014年に設立。

豊田氏：
まず1つ目に、オートトリアージ機能により客観的なリスク判断が可能な点です。これまでは、収集した脆弱性情報と管理台帳を照らし合わせた上で、属人的にリスク判断を行っていました。しかし、CVSSスコアベースのみでの評価では、対応すべき脆弱性が多すぎて現実的に対応ができません。yamoryのオートトリアージ機能では、客観的根拠から対応の優先順位を自動判定し、効率よく対応ができる対応基準を提供してくれるため、業務負荷軽減にも寄与することを期待しています。

オートトリアージ機能

2つ目に、システム全体の脆弱性情報と対応状況を一元管理できる点です。yamoryのダッシュボードは非常にシンプルで分かりやすく、オートトリアージ機能により検出された脆弱性が対応優先度別に分類され、システム全体の脆弱性情報と対応優先度・対応状況が一目でわかります。それにより、属人的な対応ではなくチームでの対応ができ、効率的かつ網羅的な脆弱性管理が可能になることも導入の決め手でした。

ダッシュボード

3つ目に、自動検知による工数削減とリアルタイムな脆弱性対応が可能な点です。これまでは手動で対応していたため膨大な工数がかかっていましたが、自動検知により大幅に工数を削減することができます。さらに、yamory独自の脆弱性データベースは、NVD、GitHubのソースコードやコミットの情報をセキュリティアナリストが日次で分析・登録を行っています。そのため、修正プログラムが提供される前に公開されたゼロデイ脆弱性も自動検知可能であり、定期的な脆弱性診断や手作業での脆弱性対策では実現できない、リアルタイムな脆弱性対応が可能な点に魅力を感じています。

yamory脆弱性データベース