BBSecとKELが海外向けセキュリティ事業を強化

【背景】
日々、企業・組織へのサイバー攻撃による情報漏えいなどの被害が報道されています。ランサムウェア攻撃や不正アクセスは、その侵入原因が海外拠点であることが少なくありません。「情報セキュリティ白書2023」でも、セキュリティ対策が不十分な海外拠点を初期侵入の標的にする手口が存在することから、海外拠点・サプライチェーン等を意識したセキュリティ対策の強化が強調されています。※1
要因として、以下のような実情が海外拠点のガバナンス要請を高めていると考えられます。

　・海外拠点における売上額・比率拡大

　・グローバル化に伴うサプライチェーンの拡大・複雑化

　・拠点ごとのコンプライアンス事情の相違

組織における情報セキュリティの取り組みに対する国際的な評価基準としては、ISO/IEC 27001に基づく「ISMS（情報セキュリティマネジメント）適合性評価」※2が広く活用されており、自動車関連産業では日本自動車工業会（JAMA）/日本自動車部品工業会（JAPIA）による「サイバーセキュリティガイドラインV2.1」※3、ドイツ自動車工業会（VDA）による「TISAX」※4 等への準拠が事業継続の重要な要素となっています。また、海外拠点、サプライチェーン拠点のサイバーセキュリティ観点での可視化には10年ぶりの改正があった米国NISTサイバーセキュリティフレームワーク2.0※5を活用し、施設や設備などの物理セキュリティの可視化には経済産業省サイバーセキュティフレームワーク傘下※6各ワーキンググループのガイドラインを活用して、評価・課題の可視化と成熟度を向上させることが、海外・サプライチェーンリスク管理の推進・維持・向上には効果的です。

※1　情報セキュリティ白書2023

　　　https://www.ipa.go.jp/publish/wp-security/t6hhco00000014r1-att/2023_All.pdf

※2　ISMS適合性評価制度 - 情報マネジメントシステム認定センター（ISMS-AC）　https://isms.jp/isms.html

※3　https://www.jama.or.jp/operation/it/cyb_sec/docs/cyb_sec_guideline_V02_01.pdf

※4　TISAX（Trusted Information Security Assessment Exchange）認証：自動車業界向けの情報セキュリティ基準で、自動車業界のセキュリティ評価の仕組みとして、ドイツ自動車工業会（VDA）とEuropean Network Exchange（ENX）が協力して2017年に確立。https://portal.enx.com/en-US/TISAX/

※5　NIST（米国立標準技術研究所）のサイバーセキュリティリスクに対応するための包括的なガイドライン。
　　  https://www.nist.gov/cyberframework

※6　https://www.meti.go.jp/policy/netsecurity/wg1/wg1.html

こうした状況を踏まえ、BBSecとKELは海外各国に拠点のある企業様のセキュリティ強化を支援するため、協業を開始しました。

【海外サイバーセキュリティソリューション】
①海外各拠点オンサイトセキュリティ評価
海外拠点の現状を可視化（見える化）し、セキュリティ対策を立案（優先順位定義）　します。
ASM※７、OSINT※8、ネットワーク脆弱性診断などもここに含まれます。
② エンドポイントソリューション※9（EDR※10/XDR※11）早期検知対処
海外拠点でのシステムに対し、エンドポイント対策を導入・実施します。
③General Director、工場長、幹部向け教育セキュリティ研修
海外拠点の責任者のセキュリティ対策を経営課題としてとらえ、研修で意識を変革します。
④セキュリティアドバイザリー支援
自社では難しい平時からのセキュリティ情報収集と備えを、相談役としてアドバイスします。
⑤セキュリティ有事の緊急対応/フォレンジック※12、トリアージ
海外拠点での有事（外部からの攻撃と内部不正両面から）に対しても、24時間365日対応し、恒久対策を支援します。

※7　ASM（Attack Surface Management）：インターネットからアクセス可能なIT資産の情報を調査し、それらに存在する脆弱性などのリスクを継続的に検出・評価する取り組み。
※8　OSINT：「Open-Source Intelligence」の略で、一般的に入手可能な公開情報を収集、評価、分析する手法。公開情報は政府の公式発表やインターネットからアクセスできる情報、書籍、報道記事などが含まれる。
※9　ネットワークの末端に接続されているPCやモバイル端末などのエンドポイントを保護するためのセキュリティソリューション。
※10　EDR (Endpoint Detection and Response): 従来型アンチウィルス製品では検知が困難な攻撃に対し、エンドポイントでの挙動を検知することにより、迅速なセキュリティ対応を支援するソリューション。BBSecでは、24時間365日体制の監視とインシデント発生時の初動対応を組み合わせてセキュリティをサポート。
※11　XDR（Extended Detection and Response：拡張型検知対応）は、サイバー攻撃や不正アクセスに対する包括的な防御を展開する新しいセキュリティアプローチ。
※12　セキュリティ事故発生時の原因特定や企業のデータ保全、改ざん防止などに活用される、さまざまなデジタルリスクに備える重要な手段。

セキュリティ対策の第一歩として、「海外オンサイトセキュリティ評価」で各種セキュリティ認定の有資格者で実績豊富な評価者が実際に現地に赴いて現状を把握し、得られた評価結果から実現可能なセキュリティ対策の計画立案を支援します。さらに実情に応じた形で、エンドポイントソリューションの導入支援をいたします。
また、計画を実行するためには経営トップの主導が不可欠であることに鑑み、各拠点における「海外拠点幹部（General Director）向けセキュリティ教育」を行い、セキュリティリテラシーの底上げと徹底を図っていきます。また、導入時のみならず、平時のセキュリティに関しては、アドバイザリーという形で総合的にご支援してまいります。
さらには、 “セキュリティインシデントは発生する可能性のあるもの”との視点に立ち、いざという時に被害を最小限に抑える「セキュリティ有事の緊急対応」が可能な体制を整備します。
BBSecとKELは2023年11月に資本業務提携を締結し、共同してITソリューションの開発を実施してまいりました。KELには自動車産業や海外拠点を持つ顧客が多く、セキュリティ体制の構築・運用に豊富な実績を持つBBSecがセキュリティの平時から有事までの一貫したサービスを提供することで、お客様の実情に応じた総合的なソリューションの提供が可能となりました。

【海外サイバーセキュリティソリューションご提供対象地域】

BBSecは、「便利で安全なネットワーク社会を創造する」というビジョン実現のため、経営ビジョン「Vision 2030」を定めておりますが、その中で定義している「解決すべき社会的課題」の一つが「サプライチェーンを狙った攻撃」です。また、そのための方策として、「コンサルティング機能強化」を掲げてまいりました。この度のKELとの国内企業・組織の海外拠点におけるサイバーセキュリティ対策ソリューション共同開発・提供は、当社のビジョンに沿ったサービス提供の一環であるといえます。お客様の実情に沿ったセキュリティサービスの提供機会を拡大しつつ、グローバルに「便利で安全なネットワーク社会を創造」してまいります。

【兼松エレクトロニクス株式会社について】
KELはITインフラ（サーバー、ストレージ、ネットワーク、ドキュメントなど）とそれに関わるサービス事業を基盤に、大企業から中堅企業のお客様の情報システムの設計・構築およびシステムコンサルティング、IT製品（システム）の販売導入、その後の運用・保守サービスまで、付加価値の高いソリューションビジネスを提供しています。柔軟性・スピードを武器に、特定のメーカー・手段等にとらわれず、自在にそれらを組み合わせた提案をおこない、様々なビジネスモデルや情報戦略を創り上げています。

【BBSecについて】
BBSecは、2000年創業のトータルセキュリティ・サービスプロバイダーです。現状の可視化や診断から事故発生時の対応、24時間/365日体制での運用まで、フルラインアップのサービスを提供しています。高い技術力と豊富な経験、幅広い情報収集力を生かし、「サプライチェーンを狙った攻撃」「社会インフラを狙った攻撃」「AI時代のセキュリティ」を解決すべき社会課題ととらえ、より多くのお客様を悪意ある攻撃者から守ることで、「便利で安全なネットワーク社会を創造する」というビジョンを実現します。