脆弱性管理と内製化を成功させる秘訣とは～スペシャリストインタビュー第4弾

2025年、私たちのセキュリティ診断サービスは30周年を迎えます。この節目の年にあたり、これまで支えてくださった皆様への感謝の気持ちを込めて、セキュリティに関する知識や取り組みを広く発信していく特別企画を展開しています。

この30年間で、ビジネスを取り巻くIT環境は大きく変化し、情報セキュリティの重要性や診断対象の範囲も大きく広がりました。そこでラックは、セキュリティ診断の過去・現在・未来を見つめ直すインタビュー企画、「専門家が考えるセキュリティ診断の現在地と未来」を実施しています。

第4弾となる本記事では、プリンターやプロジェクターなどで世界的に知られるセイコーエプソン株式会社で、プラットフォーム脆弱性検査を担当される山岸 翔馬氏と、同社でWebアプリケーション脆弱性検査を担当される島本 光汰氏にインタビューしました。同社は脆弱性管理ツール「Qualys VMDR」を中心に社内システムの脆弱性管理を内製化しながら、グループ全体のセキュリティレベルを引き上げています。今回は、脆弱性管理の内製化成功の秘訣や、実務者の視点から見たセキュリティ診断業界の現状や課題、さらに未来のセキュリティ像について深掘りします。

プロフィール

セイコーエプソンが実践する脆弱性管理

セイコーエプソンは、情報関連機器や精密機器を製造、販売する電機メーカーです。特にプリンターやプロジェクター、パーソナルコンピュータは、市場で高い存在感を放ち、根強いファンに支持されています。また、情報関連機器に携わる立場から、製品の企画・開発・評価・製造・販売・保守の各段階で、ソフトウェアとハードウェア両面からセキュリティを考慮し、脆弱性の予防・検出・対応を行い、よりセキュアな製品を世の中に届けてきました。

製品に対するセキュリティ対策を積極的に進めるセイコーエプソンは、同様の取り組みを社内システムや社員教育にも広げ、グループ全体のセキュリティ水準を引き上げています。今回は、社内システムの脆弱性管理に焦点を当ててお話を伺いました。

──脆弱性管理の方針や目的について教えてください

山岸氏

サイバー攻撃に対する弱点である脆弱性の存在を、私たちは大変重く受け止めています。そのため、脆弱性に対する私たちの方針としては、「グループ全体の脆弱性を網羅的に可視化・管理し、会社全体のセキュリティレベルを上げる」ことです。本社だけでなく、グループ会社も対象に、セキュリティ診断や各社のセキュリティ窓口対応、脆弱性の管理・解消を行っています。

──具体的な脆弱性管理はどのように行われ、成果としてはどのようなものが挙げられますか

山岸氏

脆弱性管理ツールを使用し、基本的に内製で脆弱性検査をしています。当初は複数のツールを組み合わせて実施していましたが、データ集計が複雑だったり、機能的な課題もあったりしたためQualysに一本化しています。診断対象は大きく2つで、数万規模のエージェントと千以上の外部IPに対して運用しています。成果は大きく次の2つがありました。

• エージェントのスキャンにより、脆弱性が検出された際に迅速に対象者への対応が可能となった。さらに、脆弱性が本当に解消されたかを確認できた
• 外部IPのスキャンにより、外から見える脆弱性を潰し込めた

──脆弱性管理の内製対応には、さまざまなハードルがあったかと思います。特にどのような点に苦労されましたか？

山岸氏

脆弱性管理の内製化では、いかに分かりやすい情報共有を行うかという整備と、検出した脆弱性の解消を行うための体制構築に奮闘しました。さらにQualys導入時には、脆弱性管理機能を十分に使いこなすために、カバー範囲の把握と機能理解が大きなハードルでした。この点については、ラックさんの導入支援とアドバイザリーサービスを活用することで運用を軌道に乗せられました。

──内製化を行う中で、脆弱性管理を外注される場面もあるかと思います。「外注」と「内製」はどのように切り分けていますか？

山岸氏

ペネトレーションテスト（客観性が必要な実践テスト）など高度な専門的知識が必要なものや、または短納期での対応が必要な案件は外注しています。

島本氏

たとえばWebアプリ診断では、セキュリティ専門家でないと脆弱性診断ができないSaaSサービスに関して外注しています。また、大規模で社内のチームで対応できないもの、新規サービスのリリース前診断についても外部にお願いしています。しかし、すべてを外注していると納期もコストも膨大になってしまうので、日々の更新や定常的な診断は内製で行っています。

こうした考え方に対し、同席したラックのエンジニアは「理想的な切り分けです。脆弱性管理を内製化される場合、コストとスケジュールの観点から効果の高い部分を外注することが現実的であり、全体最適につながります。」と語っています。

セイコーエプソンが描く未来―内製化の課題と次の一手―

脆弱性管理の内製化を実現し、安定した運用を実現している同社に、これから内製化を検討する企業へのアドバイスを伺いました。

──内製化を進めるにあたり、特に重要だと感じるポイントはなんでしょうか

山岸氏

特に大切なのは、人材確保とスキルアップだと思います。人材のスキルアップには人材育成が重要です。当社では、新人教育の段階から、実際のセキュリティツールを使い、脆弱性に関する知見や攻撃の見え方を学ぶことでセキュリティ技術を身につけています。さらに、新人社員の最初の業務として脆弱性診断に携わってもらうことで、海外拠点を含めた開発メンバーや業務部門メンバーとのコミュニケーションスキルも鍛えています。OJTとしても最適なテーマだと感じています。

島本氏

私は入社2年目なので、Webアプリ脆弱性診断のツールの操作や、結果の伝え方などを段階的に学んでいます。特に難しいのは、結果の判別と事業部とのすり合わせですね。どんなに優秀なツールでも過検知や対応不要のノイズが出るので、それをどう切り分けるかは知識だけでなく経験が必要だと感じます。さらに、その結果を分かりやすく事業部へ伝えることで、"やりすぎない脆弱性管理"を実現することが重要だと感じています。

──セキュリティと業務のバランスは難しく、ラックでも悩むポイントです。御社としてはどのように線引きをしていますか？

島本氏

当部では、「事業部に貢献するためのセキュリティ」という考え方が根付いています。そのため、私たちは事業部を支える立場として、開発・運用側に過度な負担をかけないことを常に意識しています。事業部から、「なぜこの脆弱性に対応しなければならないのか？」と問われた際には、具体的なビジネス影響と対処しない場合に想定されるリスクをあわせて説明し、納得してもらうプロセスを大切にしています。

──人材育成に力を入れているとのことですが、人材確保の秘訣はありますか？

山岸氏

私は情報システム系の出身ですが、入社後は長くインク原料の調達を担当していました。社内公募でセキュリティ戦略統括部に移動し、ブランクがある中で学び直しました。セキュリティに興味があれば経験や知識は後から付いてくると考えています。

島本氏

私は経済学部出身でIT未経験のまま入社しました。技術的な知識は入社後にツールを触りながら学びましたが、大事なのは最初から知識がある人材の確保ではなく、セキュリティに興味を持って自ら学んでいく人材を確保できるかだと思います。私が思うセキュリティ業務の魅力は、なんといっても変化の速さです。攻撃者は常に新しい手法を編み出すので、私たちも最新技術を学び続け、素早くキャッチアップする必要があります。そのスピード感がこの仕事を一層面白くしています。また、私たちはグローバル企業なので、国や文化を越えて経験を積める点も、大きな醍醐味だと思います。

──これから脆弱性管理の内製化へ取り組もうとしている企業へアドバイスをお願いします

山岸氏

診断ツールは導入して終わりではありません。成果を出すためには、運用や体制の整備が大変重要だと感じます。そのため、まずは対応可能な規模からスモールスタートし、段階的に適用範囲を広げることが大事です。また、外部を活用する範囲などを見極めることをお勧めします。

島本氏

企業ごとに状況は異なるため、最適なツールも一様ではありません。まず小さな範囲で試しに運用してみて、必要に応じて乗り換える。そうしたトライ＆エラーを繰り返す柔軟さこそが成功への道だと思います。

──今後の脆弱性管理における目標について教えてください

山岸氏

海外拠点も含めて、未管理の回線や機器ゼロを実現した上で、EDRを含む統合的な脆弱性管理体制を構築したいと考えています。最終目標は、攻撃を受けても事業被害を最小限にできる状態になることです。そのために、現在は未管理状態の回線の調査や、過検知を減らす設定、重大検知時のガイドラインの整理に取り組んでいます。また、緊急対応窓口の担当者が限られている現状を改善し、他のメンバーでも一次受付ができる体制を目指しています。属人的な対応から脱却し、チーム全員でセキュリティを守る体制を築くことこそ、今後のセキュリティ運用の理想形だと考えています。

さいごに

セイコーエプソンの脆弱性管理は、最適な運用と人材育成、そして「事業部に貢献するためのセキュリティ」という文化を軸に、継続的な改善を積み重ねてきた成果でした。脆弱性管理を軌道に乗せるうえで重要なのは、まずスモールスタートで成功体験を得ること。そして社内コミュニケーションを通じて協力体制を築き、不足部分は外部の知見を柔軟に取り込みながら対応を進めてきました。小さな成功を積み重ねる姿勢こそ、全社的な取り組みを持続させる原動力になっています。

サイバー攻撃の手口は日々巧妙化しています。皆様も、まずは自社に合った形で資産を可視化し、現状に合った運用フローを整備することから始めてみてはいかがでしょうか。現状を正しく把握し改善を繰り返す、必要に応じて外部の力を借りる、このサイクルを回し続けることで、組織のセキュリティは確実に成熟していきます。今まさにその第一歩を踏み出すかどうかが、未来の事業を左右する分岐点になるのかもしれません。

LAC Virtual EXPOで診断30周年特設エリアを公開中

今回は特別企画として、脆弱性管理の内製化を成功させたセイコーエプソン様のスペシャリストインタビュー第4弾をお届けしました。これから公開予定の第5弾も鋭意制作中ですので、ぜひご期待ください！さらに、企業の実務に直結するサイバー脅威への具体的な対策を詳しく解説する定期ウェビナーなど、多彩なコンテンツを企画しています。

特別企画の情報は、いつでもどこでも参加可能なオンライン展示会「LAC Virtual EXPO」の3階「診断30周年 特設エリア」にて公開しています（2026年3月31日まで）。インタビュー記事やウェビナーのアーカイブ動画、その他有益なコンテンツを多数取り揃えていますので、ぜひお立ち寄りください！