- 課題
- 健康経営におけるDXサービスを提供する中、個人情報を漏えいさせないための定期的な診断において、コストやスケジュールに課題があった
- 導入
- 自動巡回によって工数をかけずに脆弱性診断を行うことができ、さらに画面数によって追加コスト等が発生しない料金体系が決め手となってAeyeScanを導入
- 効果
- 診断準備に伴う業務負荷が大幅に軽減。さらに月に一度の定期診断が行えるようになり、より安心安全なサービス運用が可能になっている
背景と課題
企業の健康診断のDX化を支援するオンラインカルテサービスや、AIを活用したオンライン保健指導など、ヘルスケアとモビリティを掛け合わせた新しいサービスを展開する株式会社M-aid。
提供サービスを通じて、企業における健康管理の作業効率化や事務負担の軽減、そしてオンライン化による保健指導の実施率向上など、健康経営のDX化で様々な価値創造に取り組んでいる。
当然ながら、システム上で取り扱う健診結果は要配慮個人情報であり、情報を漏えいさせないために十分なセキュリティ対策が求められる。そのため同社では、外部ベンダーに脆弱性診断を依頼することで安全なサービス提供に努めてきた。しかし、診断のたびにかかるコストや、外部要因に依存するスケジュールがボトルネックになっていたという。
「セキュリティ脅威というのは常に進化していきますから、一度脆弱性診断を行ったからといって安心とは言えません。定期的な診断が必要ですが、やはり外部ベンダーに依頼するとコストが都度発生してしまいます。
さらに、外部ベンダーに依頼する場合、ベンダー側のリソース状況によっては希望のタイミングで診断が行えないなど、主導権を握って進行できないことも課題として感じていました」(株式会社M-aid 営業本部 システムグループ グループリーダー 西川氏)
また、外部ベンダーによる脆弱性診断の場合は、ベンダー側の担当者が変わるたびにコミュニケーションコストが発生していたことも課題感としてあった。
そこで、脆弱性診断ツールを使って自分たちで診断を実施していけないか検討を進めることに。
ソリューションの選定
同社では、AeyeScan以外にも様々な脆弱性診断ツールの比較検討を進めていく。そして実際に複数ツールをトライアル導入して検討する中、比較検討のポイントとして重視していた点が、診断実施までの手軽さであった。
「複数ツールを比較検討していましたが、自動診断を謳うツールであっても診断までにいくつか作業が発生するものもありました。一方で、AeyeScanはAIによる自動巡回が行われるため、診断画面を手動で設定する必要がない点がとても魅力的でした」(西川氏)
「当社は法人、特に大企業向けにサービスを提供しているからこそ、求められるセキュリティレベルを担保するためには、より頻度高く脆弱性診断を行うべきだと考えていました。しかし、リソースが限られているため、いかに手軽に診断を行えるかが比較検討時に重視していたポイントでした」(株式会社M-aid 代表取締役社長 兼 CEO 木下氏)
また、ツールによっては対象ドメイン数などによって追加コストが発生するものもあったが、AeyeScanは定額のため、画面数を気にせずに診断できる点も導入の決め手となった。
さらに、海外製品の場合は資料が英語であったり、問い合わせも英語で行う必要があったりする中、AeyeScanは国産ツールのため日本語でやり取りできることも魅力のひとつであったという。
「AeyeScanは問い合わせに対しても丁寧に対応いただけますし、定期的にオンラインで打ち合わせを行い、こちら側の課題感をしっかりヒアリングしていただけます。必要な場合は機能改修を行ってくれることもあり、サポート体制が非常に手厚いと感じました。他社ではそこまで対応いただけないことが多いため、充実したサポートもAeyeScanの魅力のひとつです」(西川氏)
導入効果
外部ベンダーに依頼していたときは、診断画面の精査や確認、ドキュメントの用意など、準備の負荷が高く、実際の診断開始までに2〜3ヶ月かかることも。現在はAeyeScanの自動巡回機能によって、診断までにかかる準備工数が削減できているという。
その結果、同社では月に一度の定期診断フローを構築し、さらなるセキュリティ強化を実現している。
「以前は診断開始までに様々な準備が必要で、人力で対応すべきことが多くありました。しかし、AeyeScanでは自動でサイトを巡回してくれるため、画面設定等の事前準備をせずとも脆弱性診断を行うことができています。コストの関係から診断画面を取捨選択したりする作業も不要になり、とても助かっています」(西川氏)
そして、クライアント企業に対して、サービスの安全性をより一層伝えられるようになったこともAeyeScan導入の効果だと西川氏は語る。
「お客様が大手企業の場合は特に、セキュリティを担保できているかどうかを気にされます。AeyeScanはOWASP API Security Top10 2023に対応していることから、一定の水準で診断を実施していることを対外的に証明しやすいと感じています。また導入によって診断頻度が増えたので、今まで以上に安全性を伝えられるようになりました」(西川氏)
今後の展望
医療のDX化を掲げ、今後も様々なサービスを展開予定のM-aid。増え続けるサービスに対して一定水準のセキュリティ対策を行っていくためには、AeyeScanは必須であると木下氏は語る。
「今後も当社では新しいサービスを提供していきますが、情報漏えいによる損失を考えると、セキュリティ対策のコストは当然払うべきだと考えています。一方で、ここまでやればOKというものでもないからこそ、セキュリティリスクとコストのバランスをどう取っていくかは非常に難しい課題です。
しかし、AeyeScanであれば、診断対象のサービスが増えてもパラレルにコストが増えていくというものではなく、かつ、リソース負荷をかけずに診断を行えるので、一定水準のセキュリティ対策を施していけると感じています」(木下氏)
最後に、あらためてAeyeScan導入の感想を木下氏、西川氏に語っていただいた。
「外部ベンダーに依頼する場合は、都度画面数などに応じてコストがバラバラでした。しかし、AeyeScanは定額だからこそ、経営者としては計画も立てやすく、会社としてありがたいサービスだと感じています。
セキュリティの脅威は今後も増していきますし、より強固なセキュリティ対策が求められる中、AeyeScanの進化には期待をしています」(木下氏)
「過去にお客様からAIで大丈夫なのかといったお声をいただいたことがありましたが、セキュリティ脅威が増えていく中、人手で追いかけていくことには限界がありますし、そもそもヒューマンエラーによる見落としも起こり得ます。
そのため、AIを活用したAeyeScanのほうがよほど信頼性が高いと感じています。またAeyeScan自体も常にアップデートされていて、より精度が向上しているため、安心感のあるサービスです。定額で必要な機能が網羅されていますし、今後のサービスの成長に期待しています」(西川氏)
