- 課題
- セキュリティの内製化が困難である一方で、外部に診断を委託するコストも削減したかった。
- 導入
- 情報処理推進機構(IPA)の検証でも高評価を得ていたAeyeScanのPoCを実施し、「7割以上は自動化が可能」という点が決め手となり導入を決定した。
- 効果
- 5日かかっていた診断作業を約3日に短縮できた。ツール習得コストも低いため、今後は診断要員の育成スピードを上げて内製化比率を高めていく。
背景と課題
国内だけでなく海外にも多くの拠点を展開し、国内外のツアー企画販売やホテル事業など、旅行を中心としたさまざまなサービスを提供している株式会社エイチ・アイ・エス(以下、HIS)は、コロナ禍を経て再び人の移動が活発化する中、新たな挑戦に取り組んでいる。
こうした状況で顧客と企業を結ぶ重要なチャネルとなっているのがオンラインだ。HISでは大小合わせると、のべ150種類以上のWebサービスやアプリケーションを開発しており、その数は今も増え続けている。
そんなHISにとって、セキュリティ対策は重要な柱の 一つだ。Webサイトに示した 「情報セキュリティ基本方針」にもある通り、顧客から預かった個人情報や情報システムなどの「情報資産」を脅威から保護するため、 さまざまな施策に取り組んできた。
そうした対策の一つが、Webアプリケーションの脆弱性診断だ。数年前は、リリース前に行う脆弱性診断の重要性がなかなか認知されない部分もあったが、粘り強く社内での啓蒙・啓発に取り組んできた。また、ニュースなどでWebアプリケーションの脆弱性を狙った不正アクセスがたびたび報じられることもあり、徐々にアプリケーションの開発者にも、またその開発を依頼する事業部側にも、脆弱性診断の必要性が浸透してきた。
問題は、それを実施する体制だ。HISが開発するWebアプリケーションは 、社内の内製部隊が開発するもの、 外部のパートナーに依頼するものも含めると3桁のオーダーに上る。それらすべてに診断を実施しようとすると、現体制では対応できなくなってきた。対応しきれない部分は外部の専門サービスに依頼することもあったが、そのコストも無視できない額に膨らんできた。
ソリューションの選定
それまでHISでは手動で診断を実施していた。かつては、「なぜこんな面倒なプロセスが必要なのか」といった反発もあった というが、少しずつ理解を得られるようになり、内製での脆弱性診断が軌道に乗り始めた。だが、コロナの影響でオンラインへのシフトが進み、どう頑張ってもさばききれない量の診断依頼が押し寄せることになった。
しかも、Webアプリケーション診断は一度実施すれば終わりではない。顧客の利便性向上のため支払い方法を追加するなどの大規模な改修や、プラットフォームの変更が行われるたびに診断依頼が寄せられる。
こうした状況を解決するには、脆弱性診断の自動化を進める必要がある。HISはそう判断し、2022年7月から脆弱性診断ツールの情報収集を開始した。その中で浮上したのがAeyeScan(エーアイスキャン)だ。
選択の決め手は、情報処理推進機構(IPA)の「2021年度 セキュリティ製品の有効性検証の試行」において選定されたことだ。「自動化できても、性能が落ちてしまっては意味がありません。その意味でIPAのお墨付きがあり、高評価を得ていることが重要だととらえました」(石谷氏)
早速エーアイセキュリティラボに連絡を取り、既存のテストケースを示してHISが抱えている課題について相談しながらPoCを実施した。その中で「7割以上は自動化が可能」という回答が得られたことも決め手の後押しとなった。最も多くの利用者がある旅行商品購入サイトなどに加え、社内で利用しているイントラネットのシステムを対象にPoCを実施し「これならいけそうだ」という手応えを得て、同年9月、正式に導入を決定した。
導入効果
HISでは現在、開発部門とセキュリティ部門が連携しながら脆弱性診断を実施し、セキュアなアプリケーションの提供に努めている。
具体的には、以下のような3ステップで診断を進めており、一部は手動で作業する部分もあるものの、診断に要する時間は以前に比べ確実に削減できた。
時間短縮を可能にした3ステップ
|
「以前はフルに5営業日かかってしまい、他の業務にまでなかなか手が回りませんでした。しかしAeyeScan導入後は、1日フルに使わず6時間程度の作業時間と短縮しつつも、約3営業日で診断を終えています」(岩崎氏)。あらかじめ仕掛けておけば、かなりの部分を自動で診断できる点が工数削減に役立っている。
また、レポート機能も重宝している。「以前はレポート作成作業だけで丸1日割いていました。多少の手直しは必要ですが、AeyeScanはレポートの大枠を作ってくれるため非常に助けられています」(石谷氏)。HISでは、もしCriticalやHighに該当する脆弱性が発見された場合、修正が完了しない限りリリースしないルールとなっているが、「その場合は全体の結果を待たずに速報を開発側にお伝えし、早めに対応方法を検討してもらうようにしています」(岩崎氏)
この結果「深刻な脆弱性が発覚してしまったが、修正しているとリリース期日に間に合わない」という悩みで板挟みになることもなく、深刻な脆弱性を潰した状態でWebアプリケーションをリリースできるようになっている。また、以前から進めてきた取り組みの成果もあり、「開発を依頼する事業部側も、事件・事故を起こしてしまったらそれまでの苦労が水の泡になってしまうことを理解し、きちんと診断の期間や予算を取るようになりました。開発側もしっかりと事前対策を施し、ほとんど脆弱性を検知しない状態で診断フェーズに持ってくるようになっています」(石谷氏)という。
今後の展開
AeyeScanの導入にあたり、もう1つ期待していた効果が「それまで外部の診断サービスに支払っていたコストの削減」だった。AeyeScanの導入によってそれを削減できると考えていたが、当初の想定以上に多くの診断依頼が寄せられ続けたため、全体として内製比率はそれほど変わっていない。
このような診断ニーズの高まりを踏まえ、HISでは「今後はAeyeScanをさらに活用し、脆弱性診断ができるエンジニアを増員したいと考えています」(石谷氏)という。
しかもそれは困難なことではないと考えている。「AeyeScanは、設定のところさえ理解できれば、それまで診断業務を経験したことのない新たなメンバーでも7割以上は診断項目をカバーできます。診断業務を新たなスタッフに伝えていくスピードが上がることも、導入して良かったポイントだと考えています」(石谷氏)
今後も開発および脆弱性診断の内製化の比率を高め、DevSecOpsに向けた取り組みにもつなげられたらと期待しているが、まずはAeyeScanを用いて自動化できる範囲をできるだけ増やしていく計画だ。そして、脆弱性診断に携わる人員を増やし、チームとして更なるセキュリティの向上に取り組んでいきたいという。