CASE STUDY
シチズン時計株式会社様は、 「市民に愛され市民に貢献する」を企業理念として創業から 100 年以上の歴史を持つ時計メーカーです。様々な分野のグループ企業を持つシチズングループの中核企業であり、各種時計類およびその部分品の製造・販売等を行っています。
サーバー、ネットワーク、クラウド、Web アプリケーションなど、あらゆる IT 資産を可視化する脆弱性診断プラットフォームです。エージェント、アクティブスキャン、パッシブスキャンなど豊富な検出方法で、継続的な管理を実現します。
アイビーシーは 2018 年から Tenable 社とパートナー契約を結び、定期的な情報交換を実施して最新のアップデートや最新の脆弱性に関する被害例、Tenable 社のセキュリティチームのリサーチの結果などをリアルタイムにキャッチアップしています。
【Tenable 付加価値機能】
VPR(Vulnerability Priority Rating)
・Tenable社独自の脅威度判定スコア。
・予測に基づいた優先順位付けプロセスから出力され、CVSS(共通脆弱性スコア)と掛け合わせることで対処の優先付けが容易に可能
リスクの把握
・脆弱性検知履歴より、脆弱性の増減タイミングを把握。また、脅威スコアごとに脆弱性の滞在期間(=リスク)の確認も容易に可能
SLA(サービスレベルアグリーメント)の策定
・VPR や CVSS に基づき SLA の策定が可能。
・SLA 通りに対処が実施されているかなど、リスクの重大度や期間ごとに状況の確認が容易に
脆弱性対策における課題の深堀り・具体化
| 脆弱性診断における現状の課題 | 脆弱性管理にあたっての要望事項 | |
| 新たな脅威が発見された際の迅速な対応の難しさ 依頼した外部ベンダーが診断を実施したタイミングでの評価となるため、そのタイミング以外で随時公表される新たな脅威に対する、リスク評価を行うことが難しい。 | ▶ | 新たな脅威に対する対策をスピーディに実現 新たな脅威が公表されたタイミングでフレキシブルかつ迅速にリスク評価を行い、対策実施完了までのリードタイムを短縮したい。 |
| 限定的な診断対象範囲 予算都合などの理由で、すべてのIT資産を対象とした診断を行うことが難しく、優先度の高い外部公開されている IT 資産に絞ってリスク評価を実施している。結果、内部の IT 資産における評価対応が疎かになっている。 | ▶ | 全 IT 資産を対象とした網羅的なリスクの把握と管理 評価回数に関係なく定額利用可能なコストパフォーマンスが高いツールを導入・活用し、運用を内製化。リスク評価範囲を外部公開に加え内部資産まで拡大し、リスクの把握と対策実施状況をワンストップ管理したい。 |
新たな脅威に対する対応力の大幅な向上
アイビーシーから導入してよかったこと
お気軽にお問い合わせ下さい
03-5117-2780
