金融の機微な個人情報を扱うシステムに「シフトレフト」を実現 | SOMPOひまわり生命保険株式会社

背景と課題

SOMPOひまわり生命保険株式会社は、万一への備えに加えて毎日の健康を応援する「健康応援企業」を目指し、新たな価値の創造に取り組んでいる。アジャイル開発を取り入れ、AI/MLなど最新のデジタル技術を組み合わせたアプリやサービスをよりスピーディに提供しているのもその一環だ。

同時に、家族情報や病歴といった機微な情報も含めた大量の個人情報を保有する生命保険会社として、より高いレベルのセキュリティも目指してきた。「中長期的な戦略を定め、技術面だけでなく体制なども含めて対策に取り組んできました」（SOMPOひまわり生命保険株式会社　情報システム部　次期インフラ推進グループ　サイバー対策チーム　シニアセキュリティスペシャリスト、山田祐介氏）

対策の一つとして、以前から、新たなWebアプリケーションやアプリをリリースする際には外部のベンダーに依頼してセキュリティ診断を実施し、脆弱性を修正した上で提供してきた。しかし、アジャイル開発を取り入れる上で課題が生まれた。「アジャイル開発では、2週間でスプリント（一工程）を回すといったスピード感で開発を進めますが、診断を外部に依頼すると契約や調整の手間がかかる上に、アプリケーションをいったん凍結しなければならず、時間がかかることが課題でした」（山田氏）

また、セキュリティ品質を考えると、開発のより早い段階で診断を実施し、脆弱性を修正していく「シフトレフト」の実現が望ましい。しかし、外部の診断サービスではある程度動作する段階まで開発が進まなければ診断が実施できないことも課題だった。こうしたWebアプリケーションは、開発グループが中心になって内製で開発されるものもあれば、SaaSを組み合わせて実現したものや、外部のパートナーに委託しているものもあり、携わる開発者のセキュリティ意識にもばらつきがあった。そのため、全体的にその底上げを図る必要性も感じていた。

ソリューションの選定

外部の診断サービスでは手間と時間、コストがかかり、2週間の開発サイクルに合わせた診断が難しい。かといって、保険会社という事業会社の中でペネトレーションテスターを採用・育成し、診断まで内製化するのも非現実的だ。

そこで、何らかの診断ツールを導入し、開発サイクルの中で診断を実施する方法が最善だと判断し、外部のコンサルタントの支援を受けつつ選定を開始した。

選定作業は非常に綿密に、半年ほどかけて行われた。まず11製品をピックアップして机上評価を行い、自社の開発環境にマッチしているDAST製品を採用する方針を定め、候補を3製品にまで絞った。その上でPoCを実施し、操作性、検知能力、機能・運用性、コスト、パフォーマンスという5つの観点で評価した。

5つの観点のうち最も重視したのが検知能力だ。「脆弱性のあるサイトを実際に2種類用意して比較しました。その結果、最も正確に検知したのがAeyeScanでした」（山田氏）

もう1つ重視したのは操作性だ。開発チームが自ら診断を実施する運用を想定していたため、自分たちの手でも問題なく診断を実施でき、レポート内容がわかりやすいかを確認した。PoCではサイバー対策チームだけなく開発者にも試してもらい、アンケートを実施した結果、やはりAeyeScanが使いやすいという結論に至った。「5つの観点のうち、コスト以外はすべてAeyeScanが優れているという結果になりました」（山田氏）

導入効果

「もっと早く導入を」という経営層の意向もあり、SOMPOひまわり生命保険では当初の予定を前倒しする形で、2023年秋からAeyeScanを用いた診断を開始した。

時期によって波はあるが、おおむね月に1本程度というペースでAeyeScanによる診断を実施している。改修などのタイミングに合わせ、できる限り早いタイミングで開発チームが診断を実施する形だ。導入と同時に開発規定も更新し、AeyeScanで検出された脆弱性はルールに沿って対応することをチェックリストに追加して、抜け漏れなく対処するプロセスを整えた。

PoCから導入にかけてのプロセスで大きな助けになったのが、エーアイセキュリティラボのサポートだ。「PoCの段階から、手取り足取り丁寧に教えてもらいました。導入後も引き続き手厚いサポートをいただき、レポートの読み解きなどでわからないことがあってもすぐに解決できています」（山田氏）。過検知対応も含めた手厚いサポートは「余計な業務が増えるのではないか」という開発チームの警戒感をほぐす上でも効果があり、最も評価しているポイントの一つという。

導入に当たっては、開発者へのヒアリングを元に「どのような場合にAeyeScanによる診断が必要であり、どのような場合には外部ベンダーによる診断も組み合わせるのか。指摘事項にはどう対処すべきか」といった事柄をまとめた開発者向けのガイドを作成してAeyeScanとともに展開し、開発プロセスに無理なく取り入れる道筋を整えながら進めていった。

さらに、シフトレフトやDevSecOps、セキュリティ・バイ・デザインの考え方を説明する勉強会も複数回開催した。こうした活動を通して、「リリース直前に診断を行って手戻りが発生するよりも、早い段階で自分たちで診断をする方が工数も減り、効果がある」ことへの理解を深めていった。

一連の施策を組み合わせることで、案ずるより産むが易しではないが、開発者側からはむしろ感謝の声も上がっているという。「ボタンを押すだけで、ベンダーに依頼するよりも手軽に診断を実施できて適切に脆弱性を把握できるため、導入してよかったという開発チームも少なくありません」（山田氏）

事前調整の工数や時間、コストといった当初の課題が解決できたことに加え、自分たちで診断してその結果を見るサイクルを繰り返すうちに、シフトレフトの考え方が理解され、開発者のセキュリティ意識も向上しているという。

今後の展望

SOMPOひまわり生命保険は一連の取り組みをSOMPOホールディングスにも共有しており、好意的な反応が得られた。すでにグループ企業の1社がAeyeScan導入に興味を示しているという。

SOMPOひまわり生命保険でも、AeyeScanの活用範囲をさらに広げていく。一部開始している部門システムに対する診断範囲をさらに広げるほか、会社の顔であり、頻繁に更新される公式ホームページについても診断を行う計画だ。

さらにセキュリティ・バイ・デザインの考え方をさらに加速させる取り組みとして、開発チームの中でセキュリティを推進する「セキュリティチャンピオン」と呼ばれる人材も育成していく。「開発の立場からセキュリティをリードしていく人材を育て、高速な開発を進めつつ、保険会社の責務としてしっかりデータを守っていきます」（山田氏）