- 課題
- 外部ベンダーに依頼をして脆弱性診断を実施しているが、より高頻度に診断を行う必要性が高まってきた
- 導入
- 経産省やOWASPが示すセキュリティ基準に沿った診断項目、また精度高い自動巡回により、質の高い診断を手軽に行えることからAeyeScan導入を決定
- 効果
- 定期診断に加え、新規リリース時でも即日中に診断実行できるようになるなど、診断頻度が向上。さらに金融機関含めたお客様からの信頼度向上にも繋がっている
背景と課題
「誰でも、何処でも、簡単に、自由に、M&Aが出来る社会を実現する」というビジョンを掲げ、M&A・事業承継支援プラットフォームとして業界No.1の成約数を誇る株式会社バトンズ。
当然ながらM&Aにおいては、譲り渡す企業、譲り受ける企業双方の情報は極めて重要な機密事項である。そのため、M&A支援事業を展開する同社であるからこそ、万全なセキュリティ対策のもと、十分な情報管理を行う必要がある。
「売り手、買い手双方の企業情報はもちろん、M&Aを検討しているということ自体が非常に重要な情報です。たとえば、売り手が会社や事業の売却を検討しているという情報が漏れてしまった場合、その会社の従業員は不安に感じるでしょうし、離職も考えられます。その結果、事業自体の存続が危ぶまれることもあります。
もちろん、買い手からしても買収というのは経営戦略のひとつであるため、漏れてはいけない情報です。売り手買い手双方の経営を守るためにも、我々はセキュリティ対策を重視して取り組んできました」(株式会社バトンズ 執行役員兼CPO 山村氏)
同社では以前から様々なセキュリティ対策に取り組んでおり、提供サービスに対しては外部ベンダーによる脆弱性診断を年に一度定期的に行っていた。しかし、速いスピードでサービスが進化していく中、セキュアな状態を担保するために診断頻度を見直す必要性が高まってきた。
外部ベンダーによる脆弱性診断はコストがかかることはもちろん、予算との兼ね合いで診断範囲の調整も入ることから準備にかなりの工数を要し、頻度を増やすことは難しかった。そこで、限られた予算やリソースの範囲内でより頻度高く脆弱性診断を行うために、従来の方法に加え、新たな手段も検討することになった。
ソリューションの選定
同社では、AeyeScan以外にも様々なセキュリティ検査ツールの比較検討を進めていく。そして実際に複数ツールをトライアル導入して検討する中、比較検討のポイントとして重視していたのが、検査のクオリティであった。
「これまでの対策の質を落とさないためにも、外部の専門家に依頼するのと同じレベルの診断が行えるかどうかが比較検討のひとつとしてありました。特に見ていたのが、経済産業省が示しているセキュリティ基準 および OWASPアプリケーションセキュリティ検証標準を満たしているかどうかです。
それらの基準を満たしているからこそ、しっかりと脆弱性診断を行い、セキュリティ対策を行っていることが外部に伝えられます。AeyeScanは、それらの基準に沿った診断が可能であったことが決め手のひとつとなりました」(株式会社バトンズ プロダクト開発グループ 開発チーム エンジニア 平山氏)
また、効率的に診断が実行できるかどうかも比較検討のポイントのひとつであった。AeyeScanでは、AIを活用した自動巡回によって診断対象を判別し、自動生成される画面遷移図で診断範囲を可視化。そこからさらに手動で診断対象を追加することも可能である。
比較検討していた他社ツールでも自動巡回の機能はあったというが、精度に懸念が残ったと平山氏は語る。
「他社ツールにおいても自動巡回の機能がありましたが、私たちが求めるレベルの精度ではありませんでした。一方でAeyeScanは自動巡回の精度が高く、さらに自動で画面遷移図が生成されるため、非エンジニアであってもわかりやすい仕様でした。
そのため、将来的にはエンジニア以外が脆弱性診断を行う体制を構築できると感じましたし、そうすることで、これまでのリソース課題を解決していけると考えました。
信頼できる診断であることに加え、手軽に行えるという点もAeyeScan導入の決め手でした」(平山氏)
導入効果
同社ではAeyeScan導入によって、毎週末に脆弱性診断を実施するフローを構築。また、新機能のリリースタイミングにおいては、即日中に準備から診断までをスムーズに行えるようになった。
「外部ベンダーに依頼していた際は、年に一度 診断を行うといった状況でした。しかし、AeyeScan導入後は毎週土日に診断が行われるよう設定し、さらに新機能リリース時にも都度診断を行うなど、高頻度な脆弱性診断を行えるようになりました。
当社のサービスは売り手や買い手、さらには関連する専門家の方々など、お客様の立場が多岐に渡るため、様々な画面や機能が存在します。そうした複雑なサイトであっても、AeyeScanであれば診断対象をひと目で確認することができます。また、診断後に誤検知が疑われる項目があったとしても手軽に再診断を行えますし、レポートもわかりやすく、何かあればすぐに対応できるため、とても助かっています」(平山氏)
診断回数が増えたことで、脆弱性を検知した場合でも即座に対応できるようになり、提供サービスのセキュリティが向上。致命的なリスクのないサービス運営が可能となった。また、高頻度に、かつ質の高い脆弱性診断を行えるようになったことで、サービスへの信頼度が向上したという。
「当社のサービスは金融機関のお客様にもご利用いただいており、サービスの安全性を客観的に示すことが求められます。AeyeScan導入によって、当社で実施しているセキュリティ対策がより説明しやすくなり、サービスへの信頼度向上に繋がっていると感じています」(山村氏)
今後の展望
サービスの価値を高めていくために、常に改善を進めてきたバトンズ。進化し続けるサービスに対して、いかにセキュリティを担保するかが大きな課題であったが、AeyeScan導入によって脆弱性診断の頻度を高め、よりセキュアなサービス運営を実現している。
今後はAeyeScanの様々な機能も活用していく他、社内の体制をより強化していくことで、これまで以上に効率良く、かつ会社として万全なセキュリティ対策に取り組んでいきたいと山村氏は語る。
最後に、あらためてAeyeScan導入の感想を山村氏、平山氏に語っていただいた。
「外部の専門家による脆弱性診断は、もちろん精度の高い診断が可能です。しかし、サイバーセキュリティの脅威というのは日々進化しているからこそ、診断の頻度も重要です。たとえ専門家による診断を行ったとしても、その頻度が少なければ十分なセキュリティ対策ができているとは言えないでしょう。
外部の専門家による脆弱性診断に加えて、AeyeScan を導入することにより、 コストを抑えて効率的に脆弱性診断が行える体制を構築できたことはもちろん、質の高い診断を頻繁に行えるようになったことで、大きな安心感に繋がっています」(山村氏)
「定期的な脆弱性診断を高頻度で行えるようになったことは、自社はもちろん、サービスを利用いただくお客様にとっても安心材料になっていると思います。
AeyeScanに関しては、ツールの機能面だけでなく、サポート体制もしっかりしていると感じました。トライアルや導入時には定期ミーティングを設定の上、活用方法を丁寧に教えていただきましたし、当社が実現したいことでまだAeyeScanではできないことであっても、要望として聞き入れ開発を進めていただく姿勢も感じています。これからもより使いやすいサービスへと進化していくことと期待しています」(平山氏)
