- 課題
- 外部に手動の脆弱性診断を依頼するとコストがかさむ上に、調整に想像以上の手間がかかり、アイフルの開発スタイルにそぐわなかった。
- 導入
- 画面やレポートがわかりやすい上に、ガイドや問診票、Q&A集など導入のハードルを下げるドキュメント類が充実しているAeyeScanを採用。
- 効果
- コストはもちろん調整の手間も減り、開発チームの好きなタイミングでいつでも脆弱性診断を実施した上でセキュアなプロダクトを提供。
背景と課題
IT金融グループとしての成長を目指すアイフルは、経営環境の最適化の一環としてこの数年でクラウド化を進め、同時に、外部に委託してきたWebサイトやスマホアプリ開発の内製化に取り組んでいる。
「自分たちの思いが届くように、自分たちの手でサービスを作り、自分たちのお客様に届けることに取り組んでいます」(アイフル株式会社 デジタル推進1部1課課長 柿迫雅量氏)
また顧客向けだけでなく、業務効率化を目指した社内向けシステムも、同様に内製している。
「お客様からの問合せをオンライン完結できるシステムや、サービス申込から成約にかかわる業務を一元管理できるシステムを構築するなど、よりよい顧客体験を実現するとともに、社員がより気持ちよく仕事でき、業務を効率化できるシステムの開発に取り組んでいます」(アイフル株式会社 デジタル推進1部2課 姉川壮太氏)
こうしたシステムは顧客情報を扱うこともあり、高いセキュリティが求められる。開発者たちもセキュリティを自分ごとと捉え、当たり前のように必要な要素として取り組んでいる。
「顧客サービスへの入り口としての重要性もあり、自分たちの作ったプロダクトについては、セキュリティも含め、自分たちで責任を持つのが当然だという意識で取り組んでいます」(柿迫氏)
ただ、Webやアプリの開発に関してはエンジニアがそろっていても、セキュリティの知識となると深いところまでは手が回らず、診断のやり方もわからない状態だった。そこで、京都拠点で最初に内製したプロダクトについては外部の専門業者に手動での脆弱性診断を依頼することで、セキュリティを担保した。
しかし、外部の手動診断ではシステム全体で数百万単位のコストがかかる上に、日程調整や現場とのやり取りのために想像以上の手間がかかった。また、いったん日程が決まれば融通がきかず、アイフルの開発スタイルとは相性がいいとは言えなかった。
「やはり自分たちの開発スタイルにあった診断ができるものが必要だと考え、2022年末からツールを探し始めました」(柿迫氏)
ソリューションの選定
アイフルでは、オープンソースのツールのほか、複数の商用脆弱性診断ツールを比較検討した。実際に触って試したところ、他のサービスでは脆弱性診断のシナリオ作成時にオペレーションミスがあると抜け・漏れが生じる可能性があったり、オンプレミス環境に管理サーバを構築する必要があって維持コストがかかったりと、アイフルの環境に合った運用が難しいと感じた。
コスト面ではオープンソースのツールが優位ではあったが、「セキュリティという重要な情報を守る最後の砦を、オープンソースのツールにどこまで寄りかかってもいいものかと考えました。また、サポート体制でも選びにくいと判断しました」(柿迫氏)
検討の末、使い勝手、脆弱性診断の項目・精度、コストなど、総合的に見て選択したのがAeyeScanだ。
特に評価したポイントは、使い勝手やレポートの見やすさだった。アイフルでは、Webアプリケーションを開発するエンジニアが、リリース前に自らツールを用いて脆弱性診断を行う運用を考えていたが、もし診断ツールの使い方に迷ったり 、思い通りの設定ができなかったりするようでは困ってしまう。
「1チームあたり3〜4人でプロダクトを開発し、中には複数のプロダクトを掛け持ちしているエンジニアもいます。各チームにセキュリティ専門家を配置することは難しいため、エンジニアにとってもわかりやすく、使いやすいことを重視しました」(柿迫氏)
また、単に脆弱性を指摘するだけでなく、その問題をどのように修正すべきかの提案までもレポートに記載されていることも安心感につながった。
「スキャンの精度がしっかりしていることに加え、画面遷移図を自動的に生成してくれるのがありがたいと感じました。また、『問診票』が用意されていて事前の準備が容易な上に、依頼への返信が当日中に返ってくるほどサポートがしっかりしている点に非常にいい印象を受けました。診断途中で遷移に詰まるなどの困りごとが出てきた時でも、安心できると考えました」(姉川氏)
導入効果
アイフルではシステム内製化の方針に沿って、数多くのプロダクトを次々に開発、リリースしていく計画だった。一連のプロダクトのセキュリティを自分たちの手で担保できる体制を整えるべく、迅速にAeyeScanの導入を進め、2023年4月から運用を開始した。
「AeyeScanが用意しているスタートガイドを参照することで、予想よりもスムーズに導入できました」(姉川氏)
また、Web上に用意されているQ&A集が充実しており、わからないことがあればすぐ検索できた上、充実したサポート体制にも助けられたという。
「あるWebアプリケーションを診断する際、画面遷移で一ヶ所、どうしても詰まってしまうところがありました。サポートに問い合わせをしたところ、バグと認識され、後日『もう修正を完了したので、安心してお使いいただけます』と連絡をいただきました。こんなにスピーディに更新していただけて助かるなと思ったことが、非常に印象に残っています」(姉川氏)
現在アイフルでは、複数のチームの手で20〜30種類のプロダクトが並行して開発されているが、各チームがスケジュールに合わせながらAeyeScanを活用している。コスト削減もさることながら、調整に関する工数を大幅に削減できた効果も感じているという。
「手動診断を依頼した際には、診断会社との事前調整だけで一ヶ月もの時間がかかってしまいました。開発など他のタスクを進める合間に、早かったり、遅かったりとタイミングもまちまちな相手からのレスポンスに対応する必要があり、ストレスもありましたが、そういった手間が一気になくなり、精神的にも楽になりました」(姉川氏)
さらに、開発チーム側の都合に合わせていつでも脆弱性診断が行える点も、非常に大きなメリットと捉えている。
「外部に依頼すると非常に手間がかかりますが、ツールを使って診断を内製化すれば、自分の好きなタイミングで何回でも診断が行えます。コンスタントに、スムーズに、しかも柔軟なシステム開発が行えると思っています」(姉川氏)
もちろん、クライアントやユーザー部門に対しても「きちんと脆弱性検査を行ったプロダクトであり、問題なくリリースできます」と根拠を持って示し、安心材料を提供できるようになった。
今後の展開
アイフルではエンジニア一人一人がセキュリティを非常に重要な要素と捉え、セキュアな開発に取り組んでいる。
「セキュリティの専門家との知見の差を埋めるためにも、こういった診断ツールが有用だと感じます」と柿迫氏は述べ、スピードや開発生産性とのバランスもとりながら、セキュリティについても過不足がない状態を維持していきたいとした。
姉川氏も「外部診断の経験と比べ、AeyeScanは非常にスピーディで、信頼できるレポートも修正内容も含めて作成されるため、エンジニア目線でも非常にいい選択肢だったと考えています」と述べる。
実は姉川氏は、エンジニアとして働き始めてまだ数年の若手だが、それでもAeyeScanのレポートの内容を理解しながら、プロダクト開発を進めることができている。今後、さらに多くのエンジニアがセキュリティを理解し、改善していく体制を整える上でも、AeyeScanの導入は非常に有益だと判断している。
アイフルでは引き続き、セキュリティをしっかり考えた上でスピーディに開発が行えるエンジニアを育成し、便利で安心して使えるプロダクトを増やしていく方針だ。「ツールを活用しつつ、エンジニアのセキュリティに関する知見をしっかり培いながら、プロジェクトを推進していければと考えています」(柿迫氏)
柿迫氏は「開発の速度を上げた結果、品質や安全性を下げるという選択肢はあり得ません。」と断言する。開発と運用、セキュリティを一体で進めるDevSecOpsも見据えており、そのためにもさらなる精度向上と自動化の推進に期待しつつ、AeyeScanを活用していく。