拡大し続けるWebサイトのセキュリティをAeyeScanによる診断で継続的に担保 | ミズノ株式会社

背景と課題

ミズノ株式会社（ミズノ）は日本を代表する老舗の総合スポーツ用品メーカーとして、野球やゴルフを始め、幅広いスポーツ用品の開発・販売を手がけてきた。その同社にとって、いまでは店舗での販売だけでなく、デジタル技術を活用したECサイトでの販売も大きな柱となっている。

「中期経営計画でもDTC強化を掲げ、ECでの販売を伸ばしていく方針を出しています。またこうしたB2Cの領域だけでなく、実は2000年からB2BのECサイトも展開しています」（ミズノ株式会社　グローバルデジタルDTC統括本部　グローバルITデジタル推進室　ICTソリューション課課長、松浦純生氏）。さらに最近では、野球場や体育館といったスポーツ施設関連事業でもWebを活用し、プレゼンスの向上に貢献している。

一連のビジネスプロセスのデジタル化を進めていく上では、セキュリティ対策が欠かせない。そこでミズノでは、昨今のセキュリティ事情に合わせ、国内だけでなくグローバル全体でのセキュリティロードマップを立て、セキュリティポリシーの見直しやセキュリティツールのグレードアップ実現に向けた対策を一歩ずつ実施してきた。「外部に公開しているWebサイトに対する定期的な脆弱性対策」もポリシーの中に含め、実施することとした。

ただ、ミズノが展開するWebサイトは事業の幅広さを反映して多岐に渡っている。国内だけでも「ミズノ公式オンライン」をはじめ約20サイトが運営されており、海外も含めればその倍に上る。これらのコンテンツは各事業部などのビジネス部門がオーナーとして企画・作成しているが、Webサーバの構築、サイトの開発作業は外部の開発ベンダーに委託しており、ミドルウェアやその上で動作するアプリケーションの環境もまちまちだった。

このため「最初にWebサイトを公開する際には、開発ベンダー側も一定のセキュリティを保証した上でリリースしてくれますが、それはあくまでその時点での話に過ぎません。一年後、数年後も大丈夫かのチェックができていないのが実情でした」（松浦氏）

十数年にわたって運用してきたB2Bサイトでは、大規模なアップデートやサーバのリプレースといったタイミングに合わせてチェックを行っていたが、それも数年おきで、どこかにセキュリティ上の穴が残っているのではないかという懸念は払拭できなかった。

ソリューションの選定

セキュリティポリシーの中でWebサイトに対する定期的なチェックを掲げた以上、実行は必須だ。ただ「実作業としてどうチェックしていくか」が課題となった。

「外部ベンダーに年に１回といったペースで診断を依頼するとなると、人手を使ってチェックしてもらう以上、多額のコストがかかります。かといって社内で診断を内製化するのも、内部の人間のスキルや工数を考えると現実的ではありません。間を取って、自分たちで使いこなせそうな診断ツールがないかを探し始めました」（松浦氏）

ミズノが脆弱性診断ツールに求めるポイントは、主に３つだった。

まずは「特別な知識を持たなくても使えること」、そして「簡単に操作できること」だ。「私を含めた数名の担当者で社内のセキュリティ業務を回しているため、それほど多くの工数はかけられません。知識がなくてもすぐに使え、手を取られることなく簡単に操作できることを求めました」（松浦氏）

加えて、肝心の診断品質が低くては話にならない。「外部ベンダーに依頼する場合と同等の診断ができるツールであることも必要条件として考えていました」（松浦氏）

こうした要件に照らし合わせて選択したのがAeyeScanだ。実際にトライアルを実施し、いずれの条件も十分満たす上に、契約期間内であれば、対象サイトの数に比例して費用が増加することなく一定額で診断を実施できるコストパフォーマンスの良さにも魅力を感じ、採用を決定した。

「セキュリティ担当と一緒にトライアルを行いましたが、戸惑うことなく、簡単に診断が行え、非常に使いやすいと感じました」（松浦氏）。セキュリティ担当の知識・レベルによらず簡単に操作が理解できたという。 また、特に重視していた診断品質についても十分な結果が得られた。「同一サイトに対し、外部ベンダーによる診断とAeyeScanによるスキャンを並行して行い、レポートを見比べて比較しました。結果は変わらないどころか、AeyeScanの方が検知できた項目が多く、これなら大丈夫だと判断しました」（松浦氏）

導入効果

ミズノでは2023年7月からAeyeScanを用いた外部公開サイトへの診断を開始した。まず国内で展開している約20サイトを対象に順に診断を実施していき、１年かけてほぼ一巡した段階だ。「特別なスキルを持たないメンバーでも診断できるようになっており、非常に助かっています」（松浦氏）

実際にAeyeScanを使って自分たちで診断を進めてみると、当初は想定していなかった、コスト以外の様々なメリットも感じるようになった。

以前、外部ベンダーに診断を依頼していたときは、事前にサイトの画面構成や仕様に関するヒアリングを経た上で見積もりの提示を受け、コストの折り合いが付いたら正式に発注し、さらに開発ベンダーと調整した上でやっと診断を実行し、1〜2ヶ月後にレポートが来るという具合だった。「指摘を受けた脆弱性への対応も含めると、数ヶ月単位の時間がかかっていました。それがAeyeScanでは、サイトの構成にもよりますが数週間で診断を終えられるようになり、その後の対策の動きも早く取れるようになりました」（松浦氏）

そもそも脆弱性診断は、チェック自体が目的ではない。診断結果を踏まえ、リスクの高い問題を修正して安全な状態でサイトやサービスを顧客に提供できるようになってはじめて、目的が達成されるといえる。ただ、外部ベンダーでの診断では修正後の再診断も料金に含まれるのか、そうでないのかがサービスによってバラバラだったり、再診断が可能な期間に制約があったりで、対策がしっかり完了した、と言い切るのが困難な場合があった。

「AeyeScanでは最初の診断そのものがスピーディに行えるだけでなく、対策後の再診断も手軽に行い、チェックできます。診断から結果を得て、対策し、チェックするという一連の運用がきれいに回せるようになりました」（松浦氏）

対策に当たっても、深刻度とともに具体的にどこを修正すべきかが示されるため、開発ベンダーとのコミュニケーションがスムーズになっているという。「レポートを見ながら『ここは修正が必要ですね』と判断したり、逆に『この機能は使っていないため過検知の可能性が高いのではないか』といった事柄を会話しながら修正を進めています。対策を検討する際のベースの資料として使えるため非常に助かっていますし、結果としてWebサイトのセキュリティレベルも高まっています」（松浦氏）

過検知や誤検知の可能性がある指摘については、エーアイセキュリティラボのサポート窓口に相談しているが、「返答などのアフターサービスもしっかりしているため、安心して活用できています」という。

今後の展望

ミズノでは、国内サイトに対する診断を一通り実施したことで、AeyeScanを用いた脆弱性診断に関するノウハウを蓄積してきた。それを生かして今後も定期的に診断を続けていく。

「世の中で新しい脆弱性が報告されれば、AeyeScan側に自動的に反映され、常に最新のセキュリティチェックが行える点にメリットを感じています。今後も新規サイトの対応や２周目、３周目と定期的にサイトをチェックし、対応していきたいと考えています」（松浦氏）

同時に、グローバルでのDTC強化の一環として、海外サイトに対する診断も実施していく計画だ。すでにグローバル共通のセキュリティポリシーとして外部公開Webの定期的な脆弱性対策を掲げているが、それがきちんと周知徹底されているかを確認する取り組みを進めていく。その確認のひとつとして「AeyeScanによる診断はその第一歩になると考えています」（松浦氏）。AeyeScanの多言語対応に期待しつつ、引き続き活用していくと言う。