全社的なセキュリティポリシー改善にまでつながる攻撃者目線の侵入テスト

全社的なセキュリティポリシー改善にまでつながる攻撃者目線の侵入テスト
JRAシステムサービス株式会社
JRAシステムサービス株式会社
VANサービス部 中野様

中央競馬の開催に関して幅広くITシステムの運用保守、開発を手掛けるJRAシステムサービス株式会社。この度、GMOサイバーセキュリティ byイエラエにペネトレーションテストのご発注をいただきました。今回はVANサービス部の中野様に実施の背景や選定ポイント、実施後の効果についてお伺いさせていただきました。

ペネトレーションテストの必要性を感じたきっかけをお教えください。

当社は中央競馬を支えるデジタル先端企業として、ITシステムの提供を行っています。今回はJRA-VANという競馬情報サービスに関するペネトレーションテストを依頼しました。JRA-VANでは住所や名前、メールアドレスなど多くのユーザーの個人情報を取り扱っています。セキュリティに関しては十分に注意をしており、兼ねてから年に1度以上のセキュリティ診断を実施するなど、改善を重ねて強固なシステムを構築しています。一方これまで外部からの攻撃を中心に対策を重ねてきましたが、内部に侵入された想定での試験については実施をしたことがありませんでした。

より強固なセキュリティ体制を構築するため、情報漏洩防止の観点から、内部ネットワークの脆弱性についても調査を行いたく、想定脅威をもとに実際に疑似的な攻撃をしかけて影響を確かめるペネトレーションテストの実施を検討しました。

今回の実施について懸念や期待について教えてください

我々がまったく気づいていなかった観点や手法を実施し、新たな脆弱性を発見することでより強固なシステム構築につながる気付きを得たいと思っていました。今回は想定脅威として外部から受信したメールを通じてマルウェアに感染した後、個人情報を盗まれる可能性があるかという観点で調査を行いました。

標的型攻撃シナリオの例

試験は本番システム稼働中に実施するため、誤動作や本番データに影響が無いかといった懸念がありました。また難易度が高いことが想定されるため、想定したシナリオ通りに本当に実行できるのか、攻撃をしてみたけど結局個人情報を取得するルートは見つからず新たな対策につながる結果が得られないことを心配していました。

弊社をご選定いただけた理由をお教えください

国内外のCTFコンテストで入賞実績を持つホワイトハッカーを多数抱える技術力の高い会社として、アクセリアさんからご紹介をいただきました。当社はJRA-VANの中でアクセリアさんの提供するCDNを利用しています。アクセリアさんは当社の状況をいつも深く理解していただき、システムをご提供いただくだけではなく必要なセキュリティ対策までワンストップでご提案いただけるため信頼しています。信頼するアクセリアさんからご紹介をいただけたため、迷わずイエラエさんへの発注を決めました。

弊社サービスをご利⽤になられて"効果"はいかがでしたか

非常に満足しています。いままでは外から攻撃を主体とした試験を行っていましたが、毎年定期的に行っており、ポート、クロスサイトスクリプティング、パッチの適用状況など、診断観点と結果が似通ってきて、大体自社でもわかっていることをご報告いただいている状態でした。

ペネトレーションテストを実施することで脆弱性を複数組み合わせるとどのような影響があるのか、実際に体験することができました。実際に体験をしてみることで攻撃者の視点をより深く理解し、改善につなげることができると感じました。

これまでも標的型攻撃を想定したメール訓練までは全社で実施したことはありますが、今回の実施を通じてクリックした後、実際にどんな影響があるのかというとこまで身をもって体験することができました。

内容の詳細は記載できませんが、ペネトレーションテストを通じて個人情報の奪取に至る可能性があるルートについて示唆をいただき、全社サーバの対応や全社のセキュリティポリシーの改善にまでつながり、大きく当社のセキュリティレベルを向上することにつながりました。該当サービスだけではなく全社的な取り組みに広げていただくなど、非常によいご提案、ご報告をいただき満足しています。

弊社への今後のご期待・ご要望がございましたら、お聞かせください

いままで標的型攻撃訓練を行い、注意を促す程度でしたが、実際に開いたらどうなってしまうか理解することで全社的に意識を高めることができました。標的型攻撃での被害を想定した対策については今後も継続して実施できればと思っています。また今回はJRA-VANに対する想定脅威を検討している中で全社サーバ・ネットワークについても調査しましたが、次回は全社システムを中心としたテストも有効であると思っています。

次回もぜひイエラエさんにお願いしたいと思っていますので、最新の攻撃手法についてアップデートを続けていただき、攻撃者視点でのセキュリティ対策について引き続きアドバイスいただけますと幸いです。

会社名JRAシステムサービス株式会社
事業内容当社は、日本中央競馬会(JRA)の子会社です。勝馬投票券の発売・集計・払戻等を行うトータリゼータシステムや、各種システムの運用保守及びシステム開発・研究・設計監理、各種競馬情報の提供、WEBサイトの企画・開発・制作・運用電子計算機等のリース等、多岐にわたり中央競馬を支えるサービスを提供しています。
URLhttps://www.jrass.jp/

自社に最適なサービスが分かる!
セキュリティ診断/対策
サービスご紹介資料
当社のサービスや製品に関するご紹介資料を
ダウンロードいただけます。
経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード