- 課題
- プロダクトが増えるにつれ、網羅的・定期的な脆弱性診断ができているかの懸念が生じていた
- 導入
- ライセンス体系、対応言語、診断精度に加え、継続的に活用できる使いやすさを重視しAeyeScanを選定
- 効果
- 全プロダクトで定期診断を開始し、自動巡回によって生成される画面遷移図も活用
背景と課題
マネーフォワードは「お金を前へ。人生をもっと前へ」というミッションを掲げ、すべての人のお金の課題解決を目指し、お金の見える化サービス『マネーフォワード ME』やバックオフィスSaaS『マネーフォワード クラウド』など50を超える多様なサービスを提供している。
「お金」という資産そのものに関する情報を扱う以上、同社のサービスには一定以上のセキュリティレベルが求められる。ただ、何が何でもセキュリティ第一ではなく、デベロッパーに寄り添いながら、現実的な解決策を模索してきた。
「開発者と非常に密接に働いており、コストなども考慮し、あるセキュリティ要件が満たせなければ代替手段がないかといった建設的な提案を行うことを大切にしてきました」(株式会社マネーフォワード CISO室プロダクトセキュリティ部 セキュリティエンジニア 中川 浩輔氏)
その一環として、外部のセキュリティベンダーに依頼し、プロダクトの脆弱性診断も実施してきた。だが、事業が拡大し、プロダクトの数も増えるにつれ、脆弱性診断の間隔が空いてしまうことが懸念材料になっていたと言う。「サービスの立ち上げ時はもちろん、その後も新機能の追加や大規模な改修の際には脆弱性診断を行うことにしていましたが、それ以外はプロダクト側の判断に委ねていました」(中川氏)
そこでCISO室が起点となって、すべてのプロダクトを対象に、定期的に脆弱性のアセスメントを行いたいと考えるようになった。これは、複数の顧客から提出を求められる「セキュリティチェックシート」でも求められる事柄でもあった。
ソリューションの選定
外部の診断サービスでは、専門知識を持った診断員の目で深くチェックが行われる。マネーフォワードはその利点を認めながらも、内部での定期的な診断を併用する方法を模索し始めた。
「ベンダーに診断を外注する場合、その結果を社内でナレッジとして蓄積することはできません。また、基本的にエンドポイント数(画面数)に応じた料金体系となるため、コストパフォーマンス的な観点から網羅的な診断を受けづらい状況もありました」(中川氏)。外部との「契約」という形式に基づく以上、開発が予定よりも遅れた場合の調整が困難という課題もあった。
「ボタンを一つ追加するといった、それほど大きくもない改修のたびに外部に診断を依頼するのではなく、内部での診断で迅速に済ませるといった具合に、使い分ける選択肢を社内に持たせる方がベターではないかと考えました」(中川氏)
そこで、「外国籍エンジニアも多く在籍するマネーフォワードでの利用を想定し、日本語だけでなく英語にも対応していること」「自社だけでなく、グループ会社のプロダクトも診断できるライセンス体系になっていること」などを条件に、診断ツールの選定を進めていった。技術的にはOWASP TOP 10やASVSで挙げられている主要な脆弱性を確実に検出でき、API診断も可能なこと、Slackをはじめとする外部サービスとの連携性も要件だった。
特に気にしていたのは使いやすさだった。マネーフォワードでは、過去に一度自動脆弱性診断ツールを導入し、内部での診断に取り組んだものの継続できなかった経験があった。「診断経験者以外にとってハードルが高くて継続できない、ということにならないよう、使いやすいツールを導入したいと考えていました」(株式会社マネーフォワード CISO室プロダクトセキュリティ部 万 萌遠氏)
複数のツールの比較検討を進め、実際にいくつかのプロダクトを対象に検証を実施した末に選定したのがAeyeScanだ。特に印象に残ったのは、自動巡回機能のカバー率だった。「AeyeScanの自動巡回機能は、文句なしの二重丸でした。しかも、巡回した画面をURLのリストではなく、キャプチャ付きでビジュアルに示してくれるため、きちんと検査対象を巡回できたかどうかの確認が容易なことを評価しました」(中川氏)
導入効果
検証の結果も踏まえ、マネーフォワードではAeyeScanを導入し、2024年2月から内部での脆弱性診断を開始した。
導入初年度は約60のプロダクトを対象にAeyeScanによる定期脆弱性診断を実施することとし、5月末までに約20プロダクトの診断を完了している。その後も、AeyeScanによる診断を最低でも一年に一回は実施していく計画だ。
本格運用を開始してみると、検証時にも印象に残ったクローリング機能と画面遷移図のメリットにあらためて気づいたという。
マネーフォワードが展開するプロダクトは多数に上っている。一つや二つならばともかく、すべてのプロダクトについてどのような画面があり、どんな挙動が適切なのかといった事柄を、CISO室がすべて把握するのは困難な状況となっていた。
「定期脆弱性診断を開始したことで、各画面で行われるHTTPのリクエストやレスポンスも含め、どのような画面遷移があるかがAeyeScan側に保存されるようになりました。各プロダクトを理解した上で、開発者からの問い合わせに対応できるようになりました」(中川氏)
懸念していた使い勝手についても、「ドキュメント類が充実している上に、ユーザーインターフェイスが自明で、画面をクリックしていけば診断できます」(万氏)という。中川氏らが主導する形で、誰が実施しても同レベルで診断を行えるように社内での診断手順を標準化し、マネーフォワード推奨の診断設定をまとめた上で運用している。
診断結果は、AeyeScanが生成するレポートに加え、特に留意が必要な指摘項目についてはCISO室がコメントも加えてスプレッドシートにまとめ、開発チームと共有している。
同社の開発チームでは、自主的にSASTツールを導入、運用済みだ。そのため指摘される脆弱性も軽微なものばかりだという。「CookieにSecure属性が付いていないといった、LowやInfoレベルの脆弱性が指摘されています。そのためかどうかはわかりませんが、開発者からは、Cookie属性を意識した問い合わせが来ることもあり、脆弱性診断を経て開発者のセキュリティ意識が高まっているのかもしれません」(万氏)
現在は、外部ベンダーによる脆弱性診断の結果とAeyeScanの診断結果を個別に管理しているが、エーアイセキュリティラボの「診断マネジメント」を活用することで、一つのダッシュボードで統合的に管理していくことも検討している。
今後の展望
「当社はほぼすべてのサービスを内製で開発しており、当社のセキュリティスペシャリストのこの活動をAeyeScanがサポートしてくれています」と、マネーフォワード グループ執行役員 CISOの松久 正幸氏は評価している。
当面はCISO室プロダクトセキュリティ部のエンジニアがAeyeScanによる診断を実施しているが、標準化した手順をベースに、診断ツールを使いこなすメンバーを広げていく方針だ。マネーフォワードには別途、プロダクトのテストを実施するQAチームが存在しており、そちらでも簡易的に脆弱性診断を実施していたが、「AeyeScanの方が使い勝手がいいと感じているため、QAチームにも使ってもらい始めています」(中川氏)
同時に、グループ企業とも定期的にミーティングを持ち、互いの状況を把握した上で、グループ統一のセキュリティスタンダードを適用し、全体での底上げを図っていく。ここでもAeyeScanを活用できればと考えている。
その意味で、「AeyeScanの機能がさらに向上し、ロジックバグを指摘したり、自動クローリングのカバー率がさらに向上して人間に劣らないような品質で診断ができるようになり、DASTとしてのデファクトスタンダードになるとうれしいと期待しています」(万氏)
今後もマネーフォワードでは、「現場や開発者に寄り添う」という原則を貫きながら、さまざまな施策を実施していく。会社の成長と共にCISO室の体制も強化しており、AeyeScanの導入に加え、クラウド環境のセキュリティ統制などさまざまなセキュリティ対策を進めている。今後はそうした取り組みの一部をテックブログなどで公開し、活動の透明度を高めていきたいという。