ソフトバンク株式会社

脆弱性の定期診断と優先順位付けを自動化してセキュリティの「死角」に徹底対策

課題
脆弱性への継続的な対策、リスクの可視化、資産の一元管理

業界
情報通信

組織の規模
5,001人以上

導入サービス
Rapid7 InsightVM

 ソフトバンク株式会社(以下、ソフトバンク)は、所有する数十万を超えるシステムや機器などの一元管理が難しく、頻繁な脆弱性診断も実施できないことから、脆弱性が放置される危険性がありました。また、脆弱性を発見したとしても優先順位を付けることが難しく、全てを対応しきれないという課題がありました。

 そこで、これらの課題を解決するため、脆弱性管理プラットフォーム「Rapid7 InsightVM」を導入しました。継続的な脆弱性の診断と優先順位付けを自動化して脆弱性への対応に注力できることにより、強固なセキュリティ環境の実現が可能になりました。


「脆弱性管理の自動化とリスクの可視化によって、脆弱性発見後の対応に注力できるようになりました」

ソフトバンク株式会社
Security System課 荒起 一智 ⽒


各部門が独自にシステム構築をすすめた結果、正確な資産情報の管理と脆弱性診断が困難に

 DXの推進とビジネスのスピード向上を図るため、ソフトバンクでは各事業部門が独自にシステム構築を進められるようになっています。こうして開発されたシステムは、数十万を超えるサーバやネットワーク機器、PCなどで構成されていますが、頻繁に構築や廃止が行われるため、どこの部署にどれだけのシステムが存在しているか把握が難しい状況にありました。

 資産情報を一元管理できない状況では、脆弱性とよばれるOS・ソフトウェアの不具合やプログラムの設計ミスなどが放置されやすく、こうしたセキュリティ欠陥を悪用したサイバー攻撃を受けるリスクが高まるといわれています。

「旧型もしくは管理されていないWebサーバやVPN機器の脆弱性を狙ったサイバー攻撃が年々増加しています。当社では資産情報を管理するために定期的に棚卸を実施していますが、実施頻度を上げると担当者の作業負担が大きくなり、一方でスパンが長いと陳腐化して役に立たないというジレンマがありました」(荒起氏)


「年に数回の脆弱性診断では対応が遅れる危険性があります。しかし診断を毎月行うには負担が大きすぎます」

ソフトバンク株式会社
Security System課 荒起 一智 ⽒


 システムや機器の脆弱性を把握するために、ソフトバンクでは脆弱性診断を定期的に実施しています。これによって、脆弱性診断を行った直後は一時的にセキュリティリスクが下がるものの、日々新たな脆弱性が発見される昨今においては、次の診断が行われるまで脆弱性が放置される可能性がありました。一方で、脆弱性診断の頻度を増やせない事情があったといいます。

「本当は毎月でも実施したいところですが、脆弱性診断やペネトレーションテストは疑似的に外部から攻撃するようなものなので、サーバの負荷が上がったり応答がなくなった場合は保守担当者の業務負担が増えてしまいます。さらに当社の場合は診断対象が膨大なため、実施回数を増やすことは現実的ではありませんでした」(荒起氏)

 また、脆弱性の一元管理ができていないことで、新たな脆弱性が公表された際に即時対応できないという課題もありました。社内のガイドラインに従って各システムで個別にセキュリティ対策を行っていたため、各システムの担当者に対象となる機器やソフトウェアの有無を都度確認する必要があり、機動的な対応が難しかったといいます。

「危険性が高い脆弱性が公表された際に、経営陣やお客さまから影響の有無を聞かれても対象の特定や調査に時間がかかってしまい、すぐに状況を回答することができませんでした」(沼田氏)

人の手だけで脆弱性管理を実現するのは困難

 継続的かつ正確な脆弱性の把握を可能にするため、脆弱性管理に取り組むことを検討しはじめました。脆弱性管理とは、システムやソフトウェアの脆弱性を常に特定・評価しながら対応方法まで含めて検討するプロセスです。年に数回だけ実施する脆弱性診断とは異なり、継続的に診断と対応を繰り返すことで新しい脆弱性への迅速な対策が可能になります。

「監視するシステムの数が多いので、全ての対象の脆弱性情報を手動で収集するには限界があります。人的リソースは限られているため、緊急性の高い脆弱性から順に対応する必要がありましたが、多くのケースでは専門家がしっかり調べないと優先順位が判別できませんでした」(沼田氏)


「膨大で多様なシステムを常時監視できるのは、Rapid7 InsightVM だけでした」

ソフトバンク株式会社
Security System課 沼田 祐哉 ⽒


事例の続きはPDFダウンロードにてお読みいただけます

導入のポイントやお客さまの声など、続きはPDFでご覧ください

  • 掲載内容は2022年8月現在のものです。

導入事例のサービスに関するご相談はこちらからお問い合わせください