【M3】攻めのセキュリティの実践！プロアクティブなセキュリティ対策の実践事例

Transcript

1. None

2. はじめに 2 ▪今日話すこと - 中小企業程度の規模の情報システム部 向けに役立つ情報 - 特にセキュリティに関する取り組みにフォーカス - 前後編でお届け

   前半 : 攻めのセキュリティの進め方 後半 : セキュリティプロダクト導入の実践事例 ▪今日話さないこと - AIを導入して何とかした みたいな話 - 私の成長物語 - ～ということでこのプロダクトを入れましょう のような宣伝 - 宇宙の話 総じて、事業会社における情報システム部に所属する方 向けにお話しします。 セッション中の入退室は自由。資料は追って公開します。

3. アジェンダ 3 <前半部 : 攻めのセキュリティの進め方> 1. 自己/自社紹介 2. 攻めのセキュリティ実践のために 3.

   3年後のセキュリティ戦略 <後半部 : セキュリティプロダクト導入の実践事例> 1. 取り組みの実践禄

4. Slide Formatting 4 1. 自己/自社紹介

5. 自己紹介 5 ▪所属 株式会社アクセルスペースホールディングス ▪名前と役割 水本 将 / mizu /

   情シス、闇(無免)セキュリティエンジニア ▪出現channel #topic-security, #topic-network, #topic-google_workspace, #ask-anything… and so on ▪最近の仕事 ASM(Attack Surface Management)を導入した

6. 6 ビジョン・ミッション 6 Space within Your Reach 〜宇宙を普通の場所に〜 私たちは小型衛星技術のパイオニアとして、宇宙ビジネスの先頭に立ち続けることで、 従来の宇宙利用の常識を打ち破り、地球上のあらゆる人々が当たり前のように宇宙を使う社会を創ります。

7. 商　号 株式会社アクセルスペースホールディングス 所在地 東京都中央区日本橋本町三丁目3番3号 事業内容 • 小型衛星の設計・製造・打上げ・運用（AxelLiner） • 衛星画像の販売及び衛星画像を使ったサービスの提供（AxelGlobe） 創　業

   2020年3月設立 ※前身となる株式会社アクセルスペースは2008年8月8日設立 資本金 連結4,067百万円（2025年9月10日現在） 社員数 グループ全体　182名 （2025年5月末時点） 主要株主 • 31VENTURES-グローバル・ブレイン合同会社 • SMBC-GBグロース1号投資事業有限責任組合 • 中村 友哉（共同創業者、当社代表取締役） • 永島 隆（共同創業者） • 宮下 直己（共同創業者） （2025年８月13日時点） 会社概要 7

8. 沿革 日本のスタートアップで初めてJAXAの衛星開発を受託する等、創業以来11機の小型衛星を設計製造、運用した実績を保有。 技術の蓄積と社会ニーズの変化に合わせて着実に事業を拡大 8 WNISAT-1 2013 ほどよし1号機 2014 WNISAT-1R 2017

   RAPIS-1 2019 GRUS-1A 2018 GRUS-1B,C,D,E 2021 PYXIS 2024 JAXA GRUS-3α 2025

9. 自社運用衛星にて撮影した画像データの販売及び 画像データを使ったサービスを提供 顧客向け小型衛星プロジェクトの 開発・製造・打上げ・運用を提供 当社の事業 9 創業以来培ってきた小型衛星開発・製造の技術を核に、2つの事業を展開 小型衛星 開発・製造技術 （サービス開始：2019年〜）

   （サービス開始：2022年〜） 開発 打上げ ミッション (地球観測等) 運用 データ取得 ・分析 顧客へのサービス提供範囲 製造 ©SpaceX ＊１： 画像は各工程のイメージを示しております。

10. Slide Formatting 10 2. 攻めのセキュリティ実践のために

11. 攻めのセキュリティ実践のために - 定義と心構え 11 ▪攻めのセキュリティの定義 サイバーセキュリティは、単に事業の安全性を確保するためのコストではなく、ビジョンを実現するための企業価値を高める投資 である と定義する。 企業のセキュリティ担当者は実現すべき「ビジョン・ありたき姿」をイメージして、そのビジョン実現のために経営サイドと一緒なっ て取り組む必要がある。

    ▪攻めのセキュリティ実践のための心構え 他社において発生したインシデントや、展示会でなんとなく目にしたプロダクトを場当たり的に対策していくのではなく、 自社にとって適切なセキュリティ対策を計画的(プロアクティブ)に進める事 が必要となる。 「曇りなき眼で見極め、決める」

12. 攻めのセキュリティ実践のために - 経営レイヤの視点1 12 ▪やることが…やることが多い… 事業継続、従業員の生活、なんなら経営者の人生… いくつもの取捨選択を実施していく必要がある中で、セキュリティにだけ時間とお金をかけるわけにはいかない。 一方で、事業継続リスクとしてセキュリティインシデントの防止は最優先事項の一つであるため、「セキュリティ対策」には適切な投 資を実施していくべき と考えている(はず)。

    事業継続 一方で、セキュリティ対策もしっかりやらねば 従業員の生活 自分の人生 アプローチ 悩める経営者 経営サイドの視点に沿って、「計画的 (プロアクティブ)なセキュリティ対策」 を進める必要がある

13. 攻めのセキュリティ実践のために - 経営レイヤの視点2 13 ▪経営サイドから見た「セキュリティ対策」で知りたいこと ①今って、どれくらいセキュリティ対策できているの? 現時点でふさがっていない穴がどれだけ存在する? 競合他社、同程度の規模の他社と比較して、自社の立ち位置は? ②結局、セキュリティ対策に最終的にいくら(時間+金)かかるの? ありたき姿にたどり着くまでの道のり、順番は?

    たどり着くために必要な人材、金的なコストは? それまでに許容すべきリスクは? ⇒ 「3年後のセキュリティ戦略」を経営レイヤと一緒にデザインしていく

14. Slide Formatting 14 3. 3年後のセキュリティ戦略

15. 3年後のセキュリティ戦略1 Maturity Level FY25.Sep EDR CASB/SWG ZTNA SIEM 教育 Password

    Manager (E)ASM … ▪ポイント1 ざっくりとした書き方 ▪ 上に積みあがるほど成熟度のレベルが向上していく という見方。 ▪ 「自分なりの観点※」で、思いつく要素(プロダクト等)を積み上げていく。 ▪ 必要に応じて外部の助力を求めたりするのはOK。 ▪ NISTやCISAが公開する各種成熟度モデル、フレームワークの利用も。 ▪ 構成要素については見直しの際に増減してOK。完璧をめざさない。 ▪ 経営サイドへの説明しやすさを考慮して、各要素のサイズも可変。 ▪ 未導入・未達成の「新しい要素」を上に記載した方がイメージしやすい。 ※ 個人的には、権威あるフレームワークにいきなり頼るより、自分なりに考えて作成 してみた方が練習になるように思うのでおすすめ。

16. 3年後のセキュリティ戦略2 ▪ポイント2 現状(スコア)を可視化 ▪ 自社が達成、導入完了している要素は着色等で分類することで、進 捗がわかりやすくなる。 ▪ セキュリティ対策状況のスコア※ を、他社のものを含め併記するこ とで、自社の状況を客観視できるようになるのでお薦め。

    ▪ 「他社のスコアと大きな乖離がある! XXが必要なんだ」みた いな主張を通しやすい。 ※ 「SecurityScorecard」や「Bitsight」など、ASM製品にはセキュ リティスコアを可視化して推移をトレースできる機能あり。 Maturity Level FY25.Sep EDR CASB/SWG ZTNA SIEM 教育 Password Manager (E)ASM … 自社の状況 Score : 88 競合A社の状況 Score : 95

17. 3年後のセキュリティ戦略3 17 FY27.Sep EDR CASB/SWG ZTNA SIEM 教育 Password Manager

    (E)ASM … Maturity Level FY25.Sep EDR CASB/SWG ZTNA SIEM 教育 Password Manager (E)ASM … ▪ポイント3 推移を付与 ▪ 作成した成熟度に併記する形で、3年後にはこういう状 況になっている という情報を記載。 ▪ 同様に完璧は目指さない。 ▪ ひとまず３年後を最終系として、年度ごとに成熟度の推 移、優先度、受容すべきリスクなどを可視化。 ▪ 当然、３年後の状況を読み切ることは不可能。各要素は 必要に応じて追加削除をしてメンテしていく。 ▪ 別軸で年額発生コストについても併記。 ▪ 3年後の状態に向けて、どれくらいのセキュリティ対策費 用を見積もっておけばいいのか を「予算取りの前」から 経営サイドと合意を取っておく。 Cost (yearly) 100百万 50百万

18. 3年後のセキュリティ戦略4 最終的な形(サンプル) 18 FY26.Sep EDR CASB/SWG ZTNA SIEM 教育 Password

    Manager (E)ASM … Maturity Level FY25.Sep EDR CASB/SWG ZTNA SIEM 教育 Password Manager (E)ASM … Cost (yearly) 100百万 50百万 FY27.Sep EDR CASB/SWG ZTNA SIEM 教育 Password Manager (E)ASM … 自社の状況 Score : 88 競合A社の状況 Score : 95 Time IT基盤のゼロトラスト対 応を推進していくフェー ズ 既存プロダクトのエンハ ンスに加え、教育とパス ワード管理を推進 ASMを導入して継続的 にスコアと脆弱性をモニ タリング

19. 前半部まとめ 19 ▪ 「3年後のセキュリティ戦略」を作成する事によるメリット ▪ 現在のセキュリティ成熟度、アセスメントを実施することが出来る。 ▪ 経営サイドとの合意のもと、各種セキュリティの取り組みを計画的(プロアクティブ)に進めることが出来る。 攻めのセキュリティの実践! として、当社の取り組みを紹介しました。

    一つの実践事例として参考にしてみてください。

20. Slide Formatting 20 4. 取り組みの実践禄

21. 後半部はじめ 21 ▪概要 - 私がAxelspace Holdingsに入社して約3年間で導入・運用した、特にセキュリティに関するプロダクトにつ いて勝手な所感、振り返りをつらつらと述べる時間。 - 「3年あれば大体これぐらいのセキュリティプロダクトを次々に導入して運用していける」という基準にしてもら えれば。

    - ▪おことわり - 今回コメントしている各プロダクトの特徴については、必ずしも最新、正確ではない可能性がありますのでご注 意下さい。 -

22. EDR CASB/SWG ZTNA SIEM 教育 Password Manager (E)ASM … EDR

    : Crowdstrike 22 ▪特徴 - シェアNo1(多分)のEDR、セキュリティ対策を進めるならまずはエンドポイントから ▪長所 - Falcon Complete(MDR)を契約することで、インシデントハンドリングやフォレンジックが不要 - イベントログは情報の宝庫。通信元・先のIP、プロセス、DNS など、各種ログが格納 ▪注意点 - 契約内容にもよるが、イベントログは1週間程度の保存期間。 - 長期保存するには別契約かSIEMにログを取りこむか、期間を延ばすオプション契約が必要。 - Completeはかなり高額…。 ▪コメント - EDR運用がしんどくなっている場合はCompleteの契約を強く推奨。情シスにも安眠を。 本資料は「ミニセッション現場限り」とさせていただきます。

23. ▪まとめ - 色んなプロダクトを組み合わせたり、積み重ねていくことで、総合的なセキュリティ対策を進めていこう。 - ありたき姿は定期的にアップデートして、最新化していこう。 弊社のセキュリティの取り組みについてはTechBlogを参照下さい。 https://zenn.dev/p/axelspace 終わりに 23 VS

24. BTCONJP MINI SESSION 16:00～16:20 2025.11.15 Axelspace Holdings Corporation 水本 攻めのセキュリティの実践！

    プロアクティブなセキュリティ対策の実践事例