サプライチェーンのセキュリティリスク
取引先の要件に応えられる体制を構築

導入経緯

製品・サービスの提供だけでなく
“自社の運用ノウハウも”お客様に提供

当社では情報システム部門の業務を、約10名で構成されるIT情報セキュリティ委員会が担っています。このような体制がとれる一つの理由は、セキュリティに精通した社員が多いことです。また、各自が業務で実際に経験したことをお客様への提案時に生かせるといったメリットがあり、自身の経験・ノウハウを交えたご提案につながっています。

「SKYSEA Client View」を導入したのは、大手の取引先を中心に求められるようになった、サプライチェーンに起因するサイバーインシデント対策が目的です。選定に当たっては、取引先ごとにやや異なる内容に対しても、クライアントPCに関する項目にはほぼ対応できることを要件としました。中には、米国国立標準技術研究所（NIST）が発行するSP 800-171^※に準拠することを求められるケースもあります。必須とした機能は、ログ管理や特定フォルダへのアクセス検知、デバイス制御です。最終的には搭載機能の○×だけでなく、取引先等の評判なども考慮し「SKYSEA Client View」の導入を決めました。

導入効果

使用頻度の高い“検索条件を保存”
条件を満たさない端末の抽出にも活用

一定期間が経過し、ログや資産情報の検索パターンが固定化されてきたため、検索項目を「検索条件」に保存して活用しています。特に設定した条件を満たさない端末を抽出できる点は、要注意の端末を見つける際にとても便利ですし、サプライチェーンセキュリティを遵守するためには欠かせません。この「NOT検索」機能（マイナス検索）は、導入前に比較していた別のサービスにはなかったため、「SKYSEA Client View」を選んで良かったと感じていることの一つです。

また、お客様に商品やサービスを提案する立場の当社にとって、専任のIT担当者でなくてもログを有効に活用していただけるUIのわかりやすさも重要なポイントでした。PCの操作ログやIT資産情報など、ISMS （Information Security Management System）等の認証取得・継続に関わる情報が一つのツールでまとめて確認できる点は多くのお客様の要求にも合致します。さらに当社では、会社支給のスマートフォンのセキュリティ対策を強化するため、「SKYSEA Client View」のMDM（Mobile Device Management）を採用し、同じUIでPCと併せて一括管理していく予定です。

アラートを活用し
“ルールに基づいた運用”を促す

ルールの作成と社員への教育だけでは、サプライチェーンリスクへの備えとして十分ではありません。やはり、システムによる制御もセットです。当社では、PCで禁止している操作には「SKYSEA Client View」のアラートを適用しています。その一例が、許可していないオンラインストレージサービスの利用です。もちろん、業務上必要な場合は申請を上げ、認可されれば利用できます。

また、共有フォルダへのアクセスをアラート設定し、権限を持たないユーザーからのアクセスをチェックしています。その過程で永続的に共有して使用するファイルだけでなく、一時的なやりとりに使用するファイルを置くために利用しているケースが多いことに気づきました。そこで、不要なファイルを共有フォルダに放置するリスクを考慮して、一時利用に限定した共有フォルダを作成。さらに、ファイルを置いたら1時間後には削除するバッチファイルの適用と、運用の周知も行っています。

“視覚に訴える「レポート」機能”を活用し
効果や結果をわかりやすく伝える

アプリケーションの利用にはライセンス料が発生します。そのため、ライセンスコストの最適化には客観的に利用状況を確認できる環境が必要です。そこで当社では、「ログ解析レポート」の「アプリケーション解析」で利用状況を確認。経営層に対し、アプリケーションの利用にかかるコストを最適化している状況を、視覚的にわかりやすく説明するために役立てています。このようなコスト管理にも「SKYSEA Client View」を活用できることは、導入前には想像していなかった効果です。