「リスクの可視化」による、納得感のあるセキュリティ対策

クラフティア様では、2020年の「DX推進部」設立に続き、2024年には「サイバーセキュリティ室」を立ち上げるなど、IT基盤の強化を進めてきました。
その過程で課題となったのが、社内に混在するレガシーシステムをはじめとしたシステムの全容の把握です。「どこに、どのようなITリスクが存在しているのか」を整理・可視化する必要がありました。
また、社内のシステムに潜むリスクが不透明な状態では、経営層の説得も難しく、さらなるセキュリティ対策を施すための積極的な投資が難しいという状況にありました。

これらの課題を打破するため、クラフティア様はEASM（External Attack Surface Management）サービス「Dredger（ドレッジャー）」を用いて、自社のIT資産に潜む、インターネットに晒されている脆弱性の種類や数、それらのITリスクを可視化されました。これにより、「なんとなくの不安」が「可視化された具体的な課題」となり、経営層との合意形成に役立ちました。

客観的データ基づいた現場への納得感と全社的な啓蒙活動

建設業であるクラフティア様では、業務効率を落とさずにセキュリティを高めることが求められており、セキュリティサービスを導入する上で現場の理解を得ることも必要なミッションとなっていました。そういった場面で、「Dredger」による客観的な検出結果が、システム開発・運用チームとのセキュリティ対策の必要性の認識を揃えるのに役立ちました。
また、全社に向けてセキュリティ情報を月次で発信するなどして、一部の専門チームだけでなく、全社員の意識を底上げするための啓蒙活動にも尽力されています。

迅速なセキュリティ対策としてのクラウド型WAFサービス「Scutum」

Dredgerで検出されたIT資産の中には、改修が必要と判断されても、システムの構造上、即座に対応するのが難しいプログラムもありました。こうした課題に対して、合理的な解決策となったのが、クラウド型WAF「Scutum」の導入です。こうした状況において、新たに発見される脆弱性にも迅速に対応できる点が評価されているクラウド型WAFサービス「Scutum」を導入しました。
「Scutum」は、新たな脆弱性が公開された際に、速やかに防御可否の検証を行い、必要に応じて検知や防御ロジックを更新する運用体制が整っています。これにより、最新の脆弱性に対する防御を継続的に実装できる点が、実運用において大きなメリットとなりました。

ITリスクの可視化から社内教育まで 幅広くサービスを利用

Dredgerについては、IPアドレス登録枠の追加数増加や新たに発見された脆弱性の差分表示機能など、ユーザー要望が積極的に製品に反映されている点から、ユーザーサポートの手厚さをご評価いただきました。
Scutumにおいては、サービスの防御性能はもとより、月次レポートの品質についてもご評価いただきました。月次レポートの活用場面として、全社のセキュリティ状況やトレンドとなっている攻撃を四半期に一度の経営報告に盛り込むことで、社内の意識向上にも役立てられるとのお言葉をいただきました。
また、技術者向けにDX推進部とシステム開発子会社を対象とした専門的な教育としてセキュアスカイの「開発者・サイト運営者向けセミナー」もご利用いただきました。
セキュアスカイのサービスを「リスクの把握」・「防御」・「社内研修」という形で、開発から運用までの一貫したセキュリティ対策としてご利用していただくことで、クラフティア様の全社的なセキュリティ水準の向上を後押ししています。