- 課題
- 以前までは外部ベンダーに脆弱性診断を依頼していたが、より高い頻度で診断を行おうとした場合にコストや工数に課題があった
- 導入
- 現場担当者レベルで運用できる体制を目指す中、技術者でなくても操作できるUI/UX、さらに複数ドメインに対して追加コスト不要な料金体系からAeyeScan導入を決定
- 効果
- 現場主導で定期的な診断を行えるようになったことで診断頻度が高まり、セキュアなWebサイト運用を実現。さらに診断工数は1/10と大幅削減に繋がっている
背景と課題
社会現象を巻き起こした『ストリートファイターII』をはじめ、『バイオハザード』シリーズや『モンスターハンター』シリーズ、『ロックマン』シリーズなど、数多くの人気ゲームタイトルを生み出してきた株式会社カプコン。
同社では、ゲームやWebサービスを利用するための共通アカウント管理サービス『CAPCOM ID』を展開するほか、ゲームタイトルごとにプロモーションサイトも制作・運営している。それらのWeb領域全般の制作・開発をインフラまわり含めて手がけているのが、同社のCS制作統括 プロダクション部 WEBプロダクション室だ。
これまで同社では、新たにお客様の情報を取り扱うサイトや機能をリリースするなどの際は、外部ベンダーに依頼して脆弱性診断を行っていた。しかし、年々セキュリティの脅威が進化し続ける中、頻度高く脆弱性診断を行う必要性が高まっており、そのためには時間とコストが課題になっていたという。
「新しくゲームタイトルが出れば、それに合わせてプロモーションサイトもリリースしなくてはなりません。運営するWebサイトが年々増え続ける中、すべてのサイトを対象に脆弱性診断を外部ベンダーへ依頼することはコストの観点から限界があります。
さらに、外部に依頼する場合は契約や社内稟議などがあるため、依頼してから診断開始まで1〜2ヶ月ほどかかってしまったり、診断の日程を変更したい場合にも、希望どおりに変更することが難しいといった課題がありました」(WEBプロダクション室 WEBインフラチーム 坂口氏)
「増え続けるセキュリティ脅威に備えて、脆弱性診断の頻度を増やしたいという考えは以前からありました。しかし、外部ベンダーに依頼する場合は診断回数を増やせば増やすほどコストや工数が嵩んでしまいます。
コストがかかるから診断をしないという状況を回避するためにも、脆弱性診断を内製化することで、より気軽に診断できる環境を用意したいと考えていました」(WEBプロダクション室 WEBインフラチーム 吉田氏)
ソリューションの選定
そこで同社は、診断内製化を目指して様々な脆弱性診断ツールの比較検討を進めていく。実際に複数ツールをトライアル導入して検討する中、比較のポイントとして重視していたのが、技術者以外でも運用可能なUI/UXであるかという点と、料金体系であった。
「脆弱性診断を内製化する上で目指していたのは、私たち主導で診断を行うのではなく、現場主導で診断を行える体制です。そうした中、他社ツールは初期設定が複雑で、現場主導で進めていくのが難しい仕様でした。
一方でAeyeScanは、自動巡回で画面遷移図が生成されるため、診断前に画面の抜け漏れを確認できるなど、診断開始までのフローがわかりやすく、誰でも診断を行えるUI/UXであると感じました。
また、比較検討していた海外製品では、アラート表記やレポートなどが英語なのに対して、AeyeScanは国産ツールのため、UIはもちろんFAQや各ドキュメントも日本語ですし、サポートも日本語で対応してもらえます。自動で出力されるレポートは、外部ベンダーに依頼した時に納品されるものと同じレベルだと感じました。そのような点から、AeyeScanは専門家ではない現場メンバーでも活用できるツールだと判断しました。さらに複数ドメインに対しても従量課金ではなく、同一料金で脆弱性診断を行えるということも導入の決め手でした」(坂口氏)
AeyeScanの担当サポートチームは、同社に最適な運用ルールの策定支援を行うほか、操作方法についてのワークショップなども開催。それにより、スムーズな運用開始を実現できたという。
「一般的なクラウドサービスでは、不明点があって問い合わせをしても、こちらを参考にしてくださいといったようにFAQのURLが送られてくるだけの対応も珍しくありません。
しかしAeyeScanの場合は、そこまでやってもらえるのかと驚くほど、導入にあたりいろいろと伴走いただきました。手厚くサポートいただいたおかげでスムーズに運用開始できたと思っています」(吉田氏)
導入効果
同社ではAeyeScan導入後、お客様IDや個人情報等を扱うサイトだけでなく、セキュリティリスクの低いプロモーションサイト等でも脆弱性診断を行うなど、積極的にAeyeScanを活用し、セキュアなWebサイト運営を実現している。
同数の診断を外部ベンダーに依頼していた場合と比較すると、相当なコスト削減のインパクトに繋がっている。
「当社は現場が主体性を持ったボトムアップ型の企業風土なため、強く呼びかけると逆に浸透しないという一面がありますが、AeyeScanのサポートの方に協力いただいて説明会を実施したところ、すぐに使い始める人もいました。それだけわかりやすいツールなのだと思います。もともと意識はあっても実施まで踏み切れていなかった人たちが、とりあえず手元にあるAeyeScanでやってみようという雰囲気に変わったことを感じています。
また、診断を行った結果、何も脆弱性を検知しないと本当に診断できているのか不安になりますが、AeyeScanは実際に巡回して診断したかどうかを画面遷移図で視覚的に確認できるので安心です」(WEBプロダクション室 WEBマネジメントチーム 梅村氏)
さらに、社内で診断できるようになったことで、診断にかかっていた時間や工数も大幅に削減できているという。
「外部ベンダーに依頼する場合は診断開始まで1ヶ月以上かかっていたのに対し、AeyeScanでは2〜3日程度で診断を終えることができています。
また、以前までは追加コストの発生を回避するため、なるべく再診断にならないように事前準備を入念に行う必要がありましたが、AeyeScanであれば気軽に診断を行うことができるため、とりあえず診断してみようという意思決定ができるようになりました。その結果、事前準備にかかっていた工数は以前と比べて1/10近くになっています。
年々新しいサイトをリリースしている当社にとって、理想的なセキュリティ対策が実現できるようになったと感じています」(吉田氏)
今後の展望
AeyeScan導入によって脆弱性診断の頻度が増え、同社ではよりセキュアなWebサイトの運用を実現。今後は外部ベンダーによる手動診断とAeyeScanによる自動診断を局面によって使い分け、ハイブリッドな診断体制でセキュリティリスクの低減に努めていく方針だ。
一方で、まだまだAeyeScanによる診断手法を全体には浸透しきれておらず、利用促進のためには社員教育も重要だと梅村氏は語る。
「これまでずっと外部ベンダーによる手動診断に頼ってきた以上、自動診断で大丈夫なのか?品質を担保できるのか?という声は少なからず上がっています。これは社内の問題なのですが、セキュリティ会社に委託したから100%安全という意識がどこかあって、全体像としてどのようにセキュリティを担保すべきかという視点に立てていないところがあります。その辺りは今後、社員教育を進めて理解を浸透させていかないといけないと思っています」(梅村氏)
具体的には、外部ベンダーに委託した診断結果とAeyeScanによる診断結果を比較し、安心感を得てもらう取り組みも検討しているとのこと。AeyeScanの利用を押し付けるのではなく、現場が積極的に活用する雰囲気を作っていくことで、比率を高めていきたいという。
最後に、あらためてAeyeScan導入の感想、および今後の展望を坂口氏、梅村氏、吉田氏に語っていただいた。
「一番不安視していたのは、私以外のメンバーでも脆弱性診断を行えるかどうかということでした。しかし実際に導入してみると、AeyeScanは誰もが使えるツールで、セキュリティ意識の向上にも繋がっています。時間をかけて比較検討した甲斐がありましたし、あらためてAeyeScanを導入してよかったと思っています」(坂口氏)
「もともと坂口はセキュリティ会社での勤務経験もあるため、セキュリティ対策の方針決定を含め、セキュリティに関する負荷が坂口に集中してしまっていました。しかし、AeyeScan導入によって現場メンバーで脆弱性診断を行える体制になり、彼の負荷も軽減されたということは私も嬉しく思っています。今後はセキュリティに関する社内教育などを行い、より強固なセキュリティ対策が実現できる状態を目指していければと考えています」(吉田氏)
「サイトを運営する側としては、AeyeScanによって今まで以上にセキュリティを担保できるようになり、非常に助かっています。これまでの苦労はなんだったのかと思うほど、やるべきことが簡単に実現できるようになったので、社内での推奨機会を増やしていき、組織全体で更なる工数削減を図っていければとも思っています」(梅村氏)
