2024/09/09
by 澁谷 雄樹、越水 喜之
コンプライアンスへの関心や要求が強まる中、ITSM(ITサービスマネジメント)ツールによる対応を目指す事例が増えてきました。
DXCでは、お客様の課題や目的に沿ってコンプライアンス対応の方法や利用するツール選定・導入のご支援を提供しておりますが、その一例として、様々な法規対応で求められる監査対策の脆弱性管理プロセスを「ServiceNow」と「Tenable」で確立したお客様事例をご紹介します。ServiceNowの特徴であるデフォルト定義のプロセスをベースとしてお客様業務に適した設計・実装を行うことで、ベストプラクティスに基づく構築を実現しています。
サイバー攻撃対策や法規対応でITSMツールへの関心が高まる
昨今、システムの脆弱性を突いたサイバー攻撃が活発化し、社会問題として取りざたされるようになりました。DXCテクノロジーのお客様では、インシデント発生時の対処を迅速化するために、エンドポイントなどの資産情報をデータベース化して脆弱性情報と照合し、ITSMツールで管理する事例が増えています。
また、IT資産の脆弱性検知ツールとITSMツールを組み合わせたいという要望も多くあります。その中には、そもそも脆弱性管理プロセスを整備できていないため、管理プロセスの構築から着手しなければならないケースもあります。
脆弱性管理プロセスの確立と確実な運用は、企業を狙ったサイバー攻撃に対処するだけでなく、各種法規に対応して事業を営む要件を満たしたりコンプライアンスを向上させたりするためにも欠かせない取り組みです。
法規対応で求められる監査での指摘を受け脆弱性管理を見直し
ここからは、脆弱性管理プロセスの構築に関して、ある製造業のお客様の事例を紹介します。
このお客様は、脆弱性セキュリティパッチを適用するための社内規定を整備していましたが、監査において規定に基づいた運用ができていないことを社内から指摘されました。
指摘を受けた点の大きな要因として、パッチ適用の属人化がありました。さらに実施状況をトレースして管理できる仕組みを持っていなかったこともあり、担当者がパッチ適用基準のとおりに対処したつもりでも実際には適用されていないケースもあったのです。
そこで同社の情報システム部門では、脆弱性管理プロセスを策定した上で、それをシステム上で管理・運用することにより抜本的な改善を行い、監査での指摘事項に徹底的に対応することにしました。
ServiceNowとTenableで実効性のある脆弱性管理プロセスの運用を実現
相談を受けたDXCテクノロジーは、同社の実態を踏まえた上で最適なシステム構成を提案しました。このお客様では、ITSMプラットフォームとして「ServiceNow」を、各資産の脆弱性を検知する脆弱性スキャナーとして「Tenable」を採用しました。Tenableで検知した脆弱性を、ServiceNowのセキュリティ関連アプリケーション群であるSecOps VR (Security Operations Vulnerability Response)によって管理することで、対応の簡素化と自動化も実現できます。
システム構築では、まずそれまで存在しなかった脆弱性管理プロセスの策定を行いました。具体的には標準的な脆弱性管理プロセスを策定した上で、同社の環境に合わせてチューニングしました。
標準的な脆弱性管理プロセスの策定に際して、ServiceNowの特徴であるデフォルト定義のプロセスを生かしました。可能な限りカスタマイズせずに導入することで、おのずと標準的なプロセスに準拠でき、導入にかかるコストや期間を短縮することができます。
監査での指摘を受けて、お客様も現状のパッチ適用業務をそのままシステムに載せたとしても解決できないと考えており、当初からServiceNowのベストプラクティスに合わせたいという意向をお持ちでした。
ただし、それでは実効性のある運用は実現できません。実運用を想定していないプロセスを策定したのでは、「絵に描いた餅」になるケースが少なくありません。そこで今回は、製品の仕様をベースにしつつも、お客様の環境に合わせてベストプラクティスの脆弱性管理プロセスを実現できるようにしました。
チューニングにおいては、お客様の環境の実態をヒアリングした上で、お客様と一緒に業務シナリオに沿った議論を重ねていき、ウォークスルーによって実効性を検証しました。特にフローの策定や担当者の割り当ては、効率性と自動化を意識してチューニングしました。
その一例を紹介します。検出した脆弱性の重要度(Critical、High、Medium、Low)は、そのまま対処の優先度(トリアージ)になるわけではありません。ServiceNowにはトリアージを自動化する機能がありますが、それには脆弱性の重要度とビジネスの重要度を結びつけてロジックを組む必要があり、それこそが脆弱性管理プロセスの重要なポイントとなります。
そのため、時間はかかりましたがお客様とディスカッションしながらチューニングを進めていきました。一例として、重要度がLowのものは対応しない前提でチケットのクローズまで自動化できるのですが、「果たしてそれでよいのか」といったことも脆弱性管理プロセスの検討の重要なポイントとなり、お客様の運用を考慮した結果、自動クローズしない方針としました。ITSMツール導入や脆弱性管理の支援実績が豊富な、DXCテクノロジーの経験が生かせたところだと自負しています。
このような一連のプロセスとプラットフォームの導入により、現場担当者レベルの実際のタスクフローを定義し、脆弱性管理の運用のための基盤を構築できました。
成果は、ただ単に監査の指摘に対応できるようになっただけではありません。導入の過程ではウォークスルーによる業務シナリオの検証を行ったため、そこから今後さらに取り組むべき課題も明らかにすることができました。
例えば、属人的な判断の余地が含まれている業務には、プラットフォームによって属人化を排除し、自動化による効率化が可能なものが少なくありません。また、そもそも運用担当者が誰なのかが明確になっていないプロセスも見つかりましたが、これはこのお客様に限らず一般的によくあることです。今後、こうした課題をクリアにすることで、よりよいプロセスへと変えていくことができます。
IT資産や業務プロセスの棚卸しから運用まで包括的に支援
DXCテクノロジーのセキュリティサービスは、さまざまな業種における豊富な経験に裏付けされたナレッジを有しており、お客様の業務の現状を理解した上で、実効性の高い脆弱性管理プロセスを策定することができます。
また、幅広い知見を有するスペシャリストが、コンサルティングから導入・運用まで包括的なフローを見据えたご支援をご提供いたします。
今回ご紹介したお客様の事例では、ServiceNowとTenableを組み合わせて脆弱性管理プロセスを実装していますが、DXCは中立的な立場でお客様ごとの環境に適した柔軟な選択肢を提案・提供できるのも特徴です。まずは環境の棚卸しをしたいというご相談も含め、お気軽にお問い合わせください。
※ServiceNowおよび関連する製品名称は米国および/またはその他の国におけるServiceNow, Inc.の商標または登録商標です。
※Tenable は米国および/またはその他の国におけるTenable,Inc. の商標または登録商標です 。
About the author
澁谷 雄樹(Yuki Shibuya)
セキュリティサービス事業部 セキュリティコンサルタント。脆弱性診断運用、セキュリティ機器の導入、セキュリティアナリストなどのセキュリティサービスやプロジェクトの経験を経て、DXCテクノロジーに入社。現在では、脆弱性管理を中心とした、システム設計・構築・提案活動などに携わる。
越水 喜之(Yoshiyuki Koshimizu)
セキュリティサービス事業部 セキュリティデリバリーリード。国内メーカーでシステム開発経験と品質管理業務を経験した後、外資系ツールベンダーにてDevSecOpsソリューションやアプリケーションセキュリティソリューションのPreSalesとして、様々な業種のお客様へのソリューションの提案や導入、コンサルティングを実施。ISO26262認証に向けた車両開発プロセスの改善プロジェクトへの参画、Automotive SPICEをベースとしたプロセス構築といった経験も持つ。