リスクの可視化から始めるインシデント対策

全国約2800店のショッピングセンターや専門店にBOND GATEやデベロッパーマネジメントシステムなどのSaaSサービスを提供しているリゾーム。この度、GMOサイバーセキュリティ byイエラエへリスクアセスメント(脅威モデリング)をご依頼いただきました。今回はシステム開発部・管理部門の難波和生様にご発注のきっかけや実施後の効果についてお話を伺いました。

ご検討のきっかけをお教えください

今回はAWS上に構築している商業施設向けのグループウェアについてアセスメントを依頼しました。システム内では商業施設のお客様の購買データ、個人情報を取り扱っており、セキュリティは重要な課題です。特に当社の主要顧客は大手のデベロッパー企業などで、セキュリティ意識の高いお客様が多いため細心の注意を払っています。

きっかけはAmazon Guard Dutyで緊急度の高いインシデントを検知したことでした。Guard Duty 検知の内容を調査した結果、セキュリティ的に問題ないことは確認できましたが、もし本当に稼働中のシステムでセキュリティインシデントが発生した際に備えフォレンジック調査に関して専門家に相談したいと思いました。

弊社をご選定いただけた理由をお教えください

当社が利用させていただいているAPN(AWS Partner Network)パートナーの クラスメソッドさんのサイトにて貴社の情報を拝見しました。それ以前にもセミナーやメディアで貴社の名前を聞いたことがあり、クラウドのインフラに強い印象があったためお声がけいたしました。

初回のお打合せでフォレンジック調査を依頼する時の流れや、事故後に証跡を残すためにしてはいけないことなどをご説明いただきました。改めて具体的に何をどう対策すればよいか根本に立ち返って整理したいと思っていたところ、まずはこのシステムがどういった脅威にさらされ、攻撃される可能性があるかを洗い出す、リスクアセスメントサービスをご提案いただきました。

サービスを通じて期待していたポイントをお教えください

打ち合わせで貴社エンジニアとの会話を通じて、情報としては知っていても、体系的な理解が不足していると感じていました。日頃からドキュメントを読んで、自分なりに調べてはいましたが、具体的にどうすればよいか、一緒になってノウハウを整理していただきたいと思いました。

リスクアセスメントをご利⽤になられた"効果"はいかがでしたか

アセスメントで文書化いただいた資料を基に改善方法やセキュリティインシデント発生時の対応方法、最小権限のロール設定などをご教示いただき、既存環境のインフラ設定を見直す良い機会になりました。

また不便にもなり得るため、なかなか推し進めることが難しかったセキュリティ対策も、専門家の意見として社内に説明ができたことでスムーズに理解が得られました。例えば検証環境も本番環境と同等にセキュリティを意識して開発するなど、チーム内でもセキュリティ的に特に気を付けないといけないポイントについて共通認識が図れたことで会社全体としてもセキュリティ強化に取り組みやすくなりました。

弊社への今後のご期待･ご要望がございましたら、お聞かせください

クラウド環境の内製化を進めるにあたり、社内クラウド環境にて最小権限のロール設定の統制を図ることは重要事項の1つと考えており御社に内製化支援をいただけると嬉しいです。またインシデント対応力の向上を目的にペネトレーションテストなどのサイバー攻撃に対する訓練メニューも今後ご相談できますと幸いです。

会社名	株式会社リゾーム
事業内容	1991年創業以来、全国のショッピングセンターを対象として常に新しい製品を作り続けてきました。ショッピングセンター業界を支える分析ソリューション、ショップ出退店データベースを軸にしたリーシングソリューション、デベロッパーとショップを結ぶグループウェア、そしてインバウンド・越境EC等、様々な取り組みに挑戦を続けています。
URL	https://www.rhizome-e.com/