グループ全体のセキュリティ強化を 推進するGSユアサ リスクの把握と対策を目的に 「Cortex Xpanse」を導入

GSユアサは、2004年に旧・日本電池と旧・ユアサコーポレーションが経営統合して誕生した持株会社、ジーエス・ユアサコーポレーション傘下の事業会社。自動車用電池、産業用電池、電力貯蔵用電池、特殊電池、燃料電池や電源装置を中心に開発・製造・販売している日本を代表するグローバル大手の電池メーカーだ。とくに電池事業は100年以上の歴史があり、EV（電気自動車）で使われるリチウムイオンバッテリーを世界で初めて量産化するなどエネルギー革新に貢献してきた。近年は、国産宇宙ロケットや衛星にも同社製電池が搭載されるなど、幅広い領域の最先端技術を支えている。

そんなGSユアサではここ最近、グループ全体でセキュリティ強化の取り組みを推進しているという。

「セキュリティインシデントの発生が続く昨今、とくに自動車業界を中心にセキュリティ 強化の要求が高まっています。当社でもサプライヤーに対してセキュリティ強化を求め ていますが、逆に当社のセキュリティ対策も取引先から見られています。そのために自社 のIT資産が外部からどのように見え、どんなセキュリティリスクに晒されているのかを先 回りする形で把握する必要があります。しかしながら、海外のグループ子会社のなかには セキュリティリスクのチェックが不十分なところもあり、IT資産を安全に管理することが 喫緊の課題でした」（GSユアサ 情報システム部 情報インフラグループ リーダー 時森 友樹氏）

時森氏によると、GSユアサではセキュリティを含むグループ子会社のIT運用管理は各社がそれぞれ担当している場合もあるという。そのため、同社の情報システム部がグループ子会社のセキュリティ状況を把握する際には、アンケートを送付して各社に回答してもらうという自己採点に委ねられていたとのことだった。この方法ではグループ全体のセキュリティリスク管理が行き届かないと考えた同社は、解決策を検討することにした。

「課題を解決するための施策として最初に検討したのが、セキュリティスコアのレイティングサービスを導入することでした。まずは無償の範囲内でサービスを試用してみたところ、一通りのセキュリティリスクを評価できたものの、グループ子会社が保有するIT資産の状況に漏れがないかどうかを確認することが難しいという課題がありました」（時森氏）

そうしたなか、GSユアサが運用するネットワークの導入・構築で従来から取引関係に あったJBCCから紹介されたのが、「Attack Surface診断サービス」だった。同サービ スは、サイバー攻撃の侵入経路となり得るインターネット上のIT資産を見つけ出し、サイ バー攻撃者の目線から脆弱性の有無や危険性の診断を実際に調査して診断結果に基づ く最適なセキュリティ対策を提案するというもの。このサービスで使用されていたのが、 パロアルトネットワークスの「Cortex Xpanse」だった。Cortex Xpanseは、インター ネットに接続された資産のセキュリティリスクを発見・評価し、問題の修正までを支援する 包括的な機能を提供するクラウドASM（Attack Surface Management：攻撃対象 領域管理）ソリューションだ。

「レイティングサービスとは別の解決策を探っていたちょうど同じタイミングで提案を 受けたのが、Cortex Xpanseを診断ツールに採用したサービスでした。同サービスを 紹介されたときにCortex Xpanseを知り、改めてCortex Xpanseについての機能 や評判を調べたところ、セキュリティリスクのある資産を発見できることが分かり、実際 に試してみることにしました」（時森氏）

GSユアサがCortex Xpanseを紹介されたのは、2022年2月のこと。セキュリティ リスクを把握する仕組みを導入する方向で動き始めていたこともあり、まずは導入に向 けて予算確保の調整を進めたという。

「サービス導入の承認・決裁を得る際に私たちが経営層へ上申したのは、海外子会社 に自己採点・評価させる従来の方法では本当かどうか分からないので、外部からセキュ リティリスクの状況を調査してその結果と各社の自己採点と突き合わせる必要がある ということでした。この予算取りの調整を行ったのちに、8月にCortex Xpanseを適用 してレイティングサービスと比較しました」（GSユアサ 情報システム部 システム活用グ ループ 青木拓磨氏）

その比較検証により、GSユアサはCortex Xpanseを採用したサービスの導入を 決定した。

「レイティングサービスは基本的にセキュリティリスクをランク付けものであり、発見 したリスクに対してどのような対処が必要なのかというアドバイスはありません。それ に対しCortex Xpanseはリスク発見能力が非常に高く、そのリスクへどんな対策を講 じればよいかをベンダーがしっかりと提案してくれます。この差が決め手となってサービスを正式導入することにしました」（青木氏）

2023年8月にCortex Xpanseを初めて適用した際、GSユアサ情報システム部では 海外のグループ子会社に一切連絡を入れず、インターネット上で各社のIT資産がどう見 えているのかをCortex Xpanseで可視化してみた。

「導入・構築については、とくに苦労した部分はありませんでした。運用について は、Cortex Xpanseの結果をもとにベンダーが専門的な知見を加えて分析と対策をま とめ、それを報告会の形で説明してもらうという形になっています。Cortex Xpanseの 画面は操作性に優れ、非常に見やすいので、その結果から私たち自身が対策を講じること もできるかもしれません。しかしそれらも含めて支援してもらえるところがサービスの価 値であり、私たちの業務負荷軽減の意味からも非常に助かっています」（時森氏）

GSユアサでは、報告会のレポートを使って各社が抱えるセキュリティリスクを提示した。「社内ではレポートを一部引用し、海外子会社の現地語に翻訳して情報提供するという作業を行いました。海外子会社の反応は会社の規模や地域により差がありましたが、とくに自社でIT運用ができている規模の大きい子会社にはスムーズに受け入れられました」（時森氏）

導入効果もすぐに表れたという。

「海外子会社については、これまでのような各社の自己採点・評価に頼ることなく、セキュリティリスクを発見・通知することが可能になりました。国内拠点についてはすぐさま危険が及ぶセキュリティリスクは発見されなかったものの、軽微なリスクの好ましくない設定が残っている機器の設定が見つかり、ただちに設定変更を実行してリスクを解消したという例がありました。自己採点によるアンケート回答では見えていなかったリスクに対して、具体的な指摘を行うことで改善を促すことができるという点で効果を感じています」（青木氏）

「取引先の自動車メーカーから特定機器の脆弱性を喚起する通知が届くことがありま すが、グループ全体で対象機器の使用状況を一から調べなくても、Cortex Xpanseを 見ればすぐに分かります。そうしたリスク対策の管理ツールとしても、Cortex Xpanse は非常に役立っています」（時森氏）

Cortex Xpanseの導入により、グループ全体のセキュリティリスクを把握すること が可能になったGSユアサだが、さらなるセキュリティ強化も検討しているという。

「今回のサービス導入によってインターネット上から見える範囲のセキュリティ対策は強化できたと考えています。しかし、業務部門によるクラウドサービスの利用や権限管理など内部においてはセキュリティの課題が残っていると認識しています。この部分の強化に向けた取り組みを進めていく予定です」（時森氏）

GSユアサではすでに、社内ネットワークのセキュリティ強化を目的にパロアルトネッ トワークスの次世代ファイアウォール「PAシリーズ」を導入。さらにゼロトラストの実 現に向けた取り組みも別枠で推進し、ネットワークとセキュリティ全体の構成を見直す SASE（Secure Access Service Edge）ソリューションとしてパロアルトネットワー クスの「Prisma Access」の導入も進めているとのことだ。

GSユアサの事例は、海外に事業拠点をもつグローバル企業が進めるべきセキュリ ティリスク管理の参考になるものだ。Cortex Xpanseを診断ツールとして採用してい るベンダーは複数存在するので、ASMソリューションに興味を持った企業は取引関係 にあるベンダーに問い合わせしてみてはいかがだろうか。