テクマトリックス

導入効果  

• IT 資産のエクスポージャーを包括的に可視化
• リスクベースの脆弱性管理による正確な対応優先順位付けと作業工数の削減
• Active Directory のセキュリティ盲点の可視化と対応業務効率の向上

インタビューイ

IT推進部 ITインフラ構築・運用課 次長 吉川 岳哉
IT推進部 ITインフラ構築・運用課 主任 杉山 尚人
IT推進部 ITインフラ構築・運用課 主任 桐山 茂之

新たな脅威に立ち向かう、セキュリティ体制の進化

Q.テクマトリックスの情報システムやセキュリティに対する考え方、運用方針と体制についてお聞かせください。

吉川: 多様な事業を展開するテクマトリックスでは、2022 年から CSIRT 組織を立ち上げ、全社的なセキュリティ強化に乗り出しました。これは、日々高度化するサイバー攻撃に対し、専門的かつ迅速な対応体制を築くことを目的としています。社内向けのセキュリティガイドラインを整備し、数名のメンバーが中心となって運用を推進。従来の境界防御に加え、多面的なアプローチでセキュリティレベルの向上を目指しています。

見えないリスクを可視化する、エクスポージャー管理への転換

Q.これまでのセキュリティ対策状況と、近年感じられていた課題についてお聞かせください。

杉山: これまでは、境界型セキュリティと年に数回のペネトレーションテストを中心にセキュリティ対策を行ってきました。しかし、近年、同様の事業内容を持つシステムインテグレーターがマルウェア感染と侵害を受けたことで、社内に強い危機感が生まれ、対策の見直しを迫られました。これは、単なる外部からの攻撃だけでなく、サプライチェーン全体に及ぶリスク、そして内部の設定不備がもたらす脅威が現実のものであることを示唆していました。

特に大きな課題は、脆弱性管理と Active Directory に対してのセキュリティ (以下 AD セキュリティ) にありました。

• 脆弱性管理: 手作業での CVSS 評価とリストの突き合わせに限界を感じていました。脆弱性の増加に伴い作業負荷が増大し、CVSS 値をもとに自社で定めた計算値だけでは優先順位を正確に判断できない課題も生じていました。どの脆弱性を優先して対処すべきか、意思決定に時間を要していました。
• AD セキュリティ: 長年の運用で多数のシステムアカウントが作成されていましたが、棚卸し作業が工数的に困難でした。人手では見過ごされがちな、パスワードの弱さや過剰な権限設定といったセキュリティの盲点に、大きなリスクを感じていました。これは、攻撃者が ADを乗っ取ろうとする「特権奪取」のリスクに直結します。

Tenable One がもたらした、リスクベースの合理的な運用

Q.従来の課題を踏まえ、Tenable One を選択した理由をお聞かせください。

吉川: 多くの製品を比較検討する中で、Tenable One がエクスポージャー管理を推進する上で最適なソリューションであると判断しました。Tenable One の最大の魅力は、その柔軟なライセンス体系です。脆弱性管理から AD セキュリティまで、必要な機能を必要なだけ利用できる点が導入の決め手となりました。また、日本語に対応した GUIは、セキュリティ専門家ではないメンバーでも直感的に操作でき、スムーズな運用に繋がると考えました。

Q.導入する段階 (PoV 期間) で感じた Tenable の優位点や逆に問題となった点についてお聞かせください。

杉山: 導入はPoV (Proof Of Value) 期間を含め約 3 ヶ月で自社にて行いました。PoV 実施期間中に、脆弱性スキャン時に PING 監視をしているサーバの冗長化の切り替えや、多数の休眠アカウントがあったためにライセンス数を大幅に超過するなどの問題点もありましたが、Tenable の的確なアドバイスとチューニングでクリアすることができました。

Q.導入後に感じた具体的な効果についてお聞かせください。

桐山: 次のとおりです。

• 脆弱性管理: Tenable の VPR (Vulnerability Priority Rating) とトリアージガイドラインに基づき、IT 資産の重要度をリスクベースで正確に評価できるようになりました。これにより、対応すべき脆弱性が明確になり、作業工数が大幅に削減されました。 さらに、これまで見逃していた古いシステムの脆弱性も可視化され、事業部門への的確なアドバイスが可能になりました。
• AD セキュリティ: 人力では難しかったアカウントの棚卸しがスムーズに完了しました。パスワードの弱さや過剰な権限設定といった盲点が瞬時に浮き彫りになり、全体的な AD セキュリティ対策を迅速に実行できるようになりました。日本語のガイド表示は、対応策の調査にかかる時間を大幅に短縮し、業務効率を向上させています。

Tenable とともに、さらなるセキュリティ強化へ

Q.今後のセキュリティ対策の展望についてお聞かせください。

吉川: 今後、クラウド活用の増加に伴い、DLP (情報漏洩対策) の観点から外部データの管理を強化していく予定です。Tenable One のさらなる活用として、パッチ管理の自動化や、アタックサーフェスの全容を可視化するための機能拡張も検討しています。

Q.Tenable に期待することがあればお聞かせください。

吉川: Tenable には、ユーザー同士で活用事例を共有できるようなコミュニティの場を設けてもらえることを期待しています。互いの知見を共有することで、より強固なセキュリティ環境を共に築いていけることを願っています。

※2025 年 3 月現在