イージスEW【導入事例】株式会社セシオス様
お客様社内インフラ診断の対応作業が増えたため、定期的な脆弱性診断の管理や指導を自動化する『イージスEW』を導入しました。
株式会社セシオス様は、ID管理と認証を中心とした国産セキュリティプラットフォームを提供している最先端の企業です。なかでもSaaS(IDaaS)マルチテナント型でシングルサインオン機能を持つSeciossLink(セシオスリンク)は多くの大企業・大学にて採用実績をお持ちです。
セシオス様が抱えていた課題は、どういったものだったのでしょう。
そして、イージスEWがその課題をどのように解決したか、代表取締役である関口様との対談から明らかにしていきます。
セシオス様『3つ』の課題を解決!
【課題】診断工数の削除・低減
- 社員が手作業で社内複数サーバの脆弱性調査を毎月行っている。
- 新たな人員追加が必要な状態になり、手作業での脆弱性調査は、もう限界。
- ローカルでの手作業による脆弱性調査をやめたい。
- オンライン上から、定期的に行えるインフラ脆弱性診断ツールに切り替えたい。
- 「イージスEW」脆弱性診断にて、診断の自動化を実施。
- これにより、手作業での調査工数を削減できた!
イージスEW導入後、この機能で解決できた!
脆弱性の自動診断機能
【課題】社内インフラの脆弱性調査結果の管理
- いままでは、調査だけでなく結果の管理も手作業で行っていた。
- 前回調査結果との差分についても、人間による目視のため工数がかかっている。
- 定期的に実施している脆弱性調査結果を自動管理するソリューションがほしい。
- 前回診断との差異も明確に理解でき、脆弱性改修履歴も簡単にトレースできるようになった。
- 社内ネットワークの総合管理ができるようになった。
イージスEW導入後、この機能で解決できた!
診断結果の履歴管理機能
【課題】費用対効果
- 年間1000万円以上の価格帯ではツールのシステム化のメリットよりも価格面のデメリットが大きい。
- 費用を抑え、かつ、機能が充実した脆弱性自動診断ツールを見つける必要がある。
- 年間使用料200万円を切るツールが欲しい。
- イージスEWが、他社と比較して非常に安価だった。
- また、広範囲に渡るセキュリティ項目が見やすいGUIで表示されていて、使いやすかった。
- 脆弱性の管理がしやすく、ニーズに適合した。
イージスEW導入後、この機能で解決できた!
低価格なコスト
→ 価格についてはこちら
セシオス様『3つ』の課題を解決するために選定されたのが、イージスEWだったのですね。それでは、それらの経緯をインタビューを通してみていきましょう。
左:未来研究所代表取締役 小林忍 右:セシオス代表取締役 関口薫様
弊社のイージスEWを導入されたきっかけをお教え願いますと嬉しいです。
近年、弊社では、IDaaSである当社製品SeciossLink (セシオスリンク)提供元として、サイバーセキュリティが非常に重要になってきておりました。
SaaSアプリ開発には、機能別に複数のサーバを使用します。もちろん、社内システム向けにも複数のサーバを立てておりました。
以前は、脆弱性の情報を手動で収集して、自社環境に修正を適用する必要があるかを個別に判断していました。
そういった中で、社内システム向けに脆弱性管理を強化する必要があった訳です。
SeciossLink(セシオスリンク)
とはいえ、弊社では社内インフラのリソースもそんなに多いわけではありません。
そのため、効率的に全体の脆弱性診断と管理が行えるASMツールを探していたところ、イージスEWにたどりつきました。
イージスEWをコンペと比較されて、どのような点が採用に至った理由でしょうか?
まずは、安いところです。某大手さんだと桁そのものが違いました。価格がネックで脆弱性診断をあきらめている企業さんもあると思いますが、イージスEWはお勧めですね。
あとは、他社さんの脆弱性診断ツールと比較して、イージスEWは検出される脆弱性も多いですね。価格を抑えながらも機能が充実していて、イージスEWはコストパフォーマンスが非常によかったです。
ありがとうございます。イージスEWのASMは、イギリスのパケットトレーサが収集したDBを使っており、他社さんが検出する量に対して、1.5倍以上の情報収集能力があります。加えてイージスEWの開発コアメンバーが、英国GCHQやMI6出身者であり、高度な脆弱性診断能力を持っています。年間DB使用ライセンス費用も、日本の同サービスと比較しても1/4程度です。
さらに、イージスEWは、他社さんと比べて開発費が安く抑えられています。
これは、2017年にオーストラリアの企業がアメリカ軍用機の情報を漏洩させた事件が発生させた際に、危機感を持ったオーストラリア政府の支援を受けて開発されたツールのためです。
(開発元 Titanium Defence社についてはこちら)
イージスEWを導入したことで、何か効果は実感されましたか?
はい。診断で検出された脆弱性を修正して、翌月の診断で確認するサイクルを実施できるようになりました。月1回、定期的にイージスEWで脆弱性診断を実施しているのが大きいです。
また、抜け落ちなく脆弱性対策できるようになりました。イージスEWのダッシュボード上から、対策した個々の脆弱性を消し込めるのが便利ですね。
セシオス様の将来への展望
イージスEWが貴社のセキュリティ向上だけではなく、業務改善にもお役立ていただけているわけですね。大変光栄です。貴社製品のセシオスリンクは、ID管理やシングルサインオンを行うIDaaSでいらっしゃいますが、将来的な展望をお教えいただけますか?
セシオスリンクが、サイバーセキュリティ対策の一部として使われるようになるとよいと考えています。当社のセシオスリンクは、IDaaSとセキュリティを組み合わせている製品です。このため、EDRなどサイバーセキュリティ製品との連携を進めています。
新しいサイバーセキュリティ製品との連携を増やしていく中で、安全が保証されたサービスを提供したいと考えています。その際には、御社のイージスEWを脆弱性対策済み証明に使えるといいですね。
イージスEWとの連携もありがとうございます。私自身の経験なのですが、ネットワーク構築をやると、ネットワーク機器ごとにIDやパスワードが異なっていることがよくあります。そういったところにシングルサインオンが導入されていると、非常に楽になりますね。
イージスEWは、インターネット上の脆弱性診断だけではなく、IoT機器の脆弱性診断も行えます。この際に、EdgeBOX(エッジボックス)と呼ばれているVPN装置を使っているので、認証に貴社のセシオスリンクが使えると思います。シナジー効果は、十分高いといえます。
そうですね。サイバーセキュリティは、需要が高まってきていますので、我々もそれに応じて対策を強化してゆきます。
今後もイージスEWを利用して、定期的な脆弱性診断は継続するとともに、最新の技術やツールを導入してよりセキュアなサービスを追求していけたらと思っています。
我々、未来研究所も、セシオス様も含め多くのお客様に良質なサイバーセキュリティサービスを提供し続けていく所存です。
面談日:2024年10月18日
著者:株式会社未来研究所