グローバルCSIRTの運営を支える伴走者

「ヘルスケアの進化をデザインする。」をミッションに掲げ、臨床検査機器、試薬、ソフトウェアなど世界190か国以上で事業を展開する医療機器メーカーであるシスメックス（本社・神戸市）。GMOサイバーセキュリティ by イエラエでは、インシデントレスポンスチームの内製化支援や、定期的なWEBセキュリティ診断をお手伝いさせていただいております。今回は、神戸本社に伺い、Sysmex-CSIRTチームのメンバー3名に直接お話を伺いました。以下、シスメックスさんのご回答をご紹介いたします。

セキュリティ対策の必要性を感じたきっかけをお教えください

創業以来、当社はヘルスケア企業として、医療機器を販売するだけではなく、タンパクの測定技術を活かし、患者さんの血液検査サービスを提供してきました。現在では、血液データだけではなく遺伝子データも扱うようになり、機微なデータを取り扱う頻度が増え、デジタル化されたデータ管理の重要性が増しています。

またコロナウイルス感染拡大に伴い、ワクチン開発メーカーへのサイバー攻撃も増加しており、当社も攻撃対象となる脅威や危機感を、日々感じています。さらに最近では、クラウド環境でのサービス提供も行うようになり、インシデント対応体制の構築は、当社において重要、かつ喫緊の経営課題であると考えています。

そこではじめに、当社コーポレートが外部委託、または管理している26サイトにおいて、Webセキュリティの対策状況を、技術面・運用面からリスクの可視化から始めることにしました。高度な知見を有するサイバーセキュリティ専門家への依頼することを決めました。

弊社をご選定いただけた理由をお教えください

当社は、売上の80%を海外が占めるなどグローバル市場において、広範囲に事業を行っています。そのため、診断業務についても、世界的に評価され、かつ信頼できる会社に、依頼をしたいと考えていました。

“CODE BLUE（東京）”というセキュリティイベントにおいて、偶然、牧田社長とご縁を頂き、本案件を選定・委託する少し前から、牧田様とサイバーセキュリティの情報共有や意見交換をさせていただいておりました。御社においては、業界での評判も高く、また多数のホワイトハッカーを抱えられており、国際的なハッキングコンテストにおいて、入賞をしている実績も伺い、優れたサイバーセキュリティ技術力を有している組織であると確信しておりました。

定性的な話ではありますが、牧田社長と当社のフィーリングが合うと感じた点も大きな決め手のひとつです。当社は、ビジネスを行う上でのビジョンや共感を、まず重視しています。東京出張の折、御社オフィスに伺った際に、社内とセキュリティ・ラボを見学させていただきました。

まさに大学の研究室のような雰囲気は当社の創業時を彷彿とさせ、サイバー技術を突き詰めたいという、当社メンバーと同じ思いや志を持っていると感じ、さらに親近性を深めたいと考えました。また業務を通じて、日本代表として国際的にも活躍する御社のプロフェッシナリズムに触れる中で、あらゆる未知の脅威やサイバー攻撃者と戦うことに、大いなる志（こころざし）を描くことが出来ました。

弊社サービスをご利用になられて効果はいかがでしたか

お打合せ時に感じた通り、御社メンバーとは、非常にコミュニケーションがとりやすく、かつ円滑にWeb調査を進めることができました。また本調査を通じ、私たちが、十分運用管理できていなかったドメイン情報や、既知の脆弱性やポート開放の状況など、次々と明らかになりました。

診断時にはその結果に応じて、リスクレベル（高・中・低）を客観的・かつ定量的に評価していただき、事後または優先的に対策すべき事項を、詳細かつ丁寧に整理していただき、大変感謝しています。

一部対象であるWebサイト管理が、海外グループ会社であったため、診断後の結果を、管理する地域ごと（当社グループは日本、米州、EMEA、中国、アジアパシフィックの5リージョンにおいて、個社事に個別に管理）に集計する点は苦労しました。

そうした中でも御社レポートは、非常にシンプルかつわかりやすく、事後対策について丁寧に直接ホワイトハッカーより説明をいただけたため、事前・事後対策のヒントや、データ侵害等、サイバーリスク軽減につなげることができました。

さらにWeb診断業務のみならず、チームメンバーの成熟度を高めて頂くことを目的とした、御社メンバーによる個別トレーニングも有用でした。特に、受講者の技術力や進度に合わせて、ホワイトハッカーのスキルやノウハウをマンツーマン形式で教えて頂いたことは、またとない機会でもあり、大変ラッキーでした。

また技術指南だけに留まらず、悪意ある攻撃者の手法やソーシャルエンジニアリングについても解説頂くとともに、ホワイトハッカーに求められる職業上倫理観を学ばせて頂いたことは、メンバーにおいて重要な経験でした。いわゆる、教科書的なアプローチだけではなく、何が本当に必要なサイバー対策であるのかを、自分の思考と共に、自信を得ながら、自律に考えることができるようになりました。

弊社への今後のご期待･ご要望がございましたら、お聞かせください

これまでセキュリティは、情報システム部門が中心となっていましたが、今日のグローバル企業においては、経営者自らの課題と責任として、とらえる時代となっています。組織にあるリスクを、単に技術面・運用面により評価するだけではなく、経営層がどのようなリスクとして理解し、かつ、自社のビジネスに対して、具体的にどのような影響があるのかまで、指南・アドバイスを頂けると、例えば、インシデント発生時においても、少ないリソースにおいても、回復・収束まで対応することが可能になります。

またSysmex-CSIRTチームでは、高度なサイバーセキュリティ技術に関する個別学習や業務経験の獲得だけではなく、メンバー一人ひとりの個性やダイバーシティを重視しています。いいかえれば、平時または有事において、柔軟なコミュニケーションをとれる人材づくりを目指しています。なぜならば、コミュニケーションを通じ、共通したゴールや問題意識を持たなければ、インシデント対応活動に従事することが出来ないからです。

さらに海外拠点（米・欧州・中国・アジア地域）の仲間との日常的なコミュニケーションやミーティングの機会を増やして、共にグローバルセキュリティ強化を実践していきたいと考えています。

そのため御社には、引き続きCSIRTメンバーのコーチ兼トレーナー役として、私たちメンバーひとり一人の伴走者として、引き続きリードをしていただくことを、心より期待しています。

会社名	シスメックス株式会社
事業内容	1968年の創立以来、血液や尿などを採取して調べる検体検査の分野において、世界中のお客様にソリューションを提供してまいりました。ヘマトロジー（血球計数検査）、免疫検査、血液凝固検査などの分野に加え、ライフサイエンス領域へと多岐に渡り、事業を展開しています。現在では検体検査に加え、必要な機器・試薬・ソフトウェアの研究開発から、製造・販売サービス＆サポートを一貫して行うヘルスケア企業として、世界190以上の国や地域の人々の健康を支えています。
URL	https://www.sysmex.co.jp/