- 課題
- 以前までは外部ベンダーに脆弱性診断を依頼していたが、診断対象が増えていく中で、コストと時間、さらにリソース不足が課題としてあった
- 導入
- 脆弱性診断を内製化していく上で必要なUIのわかりやすさや国内サポート、また複数ドメインに対して追加コスト不要な料金体系からAeyeScan導入を決定
- 効果
- 内製化によって診断コスト削減を実現。診断頻度や診断対象が拡大し、グループ全体のセキュリティ向上に繋がっている
背景と課題
小田急電鉄を中心に、70社以上の会社を包括する小田急グループ。小田急電鉄株式会社 経営企画本部 デジタル変革推進部では、全社のDX推進に加えて、小田急電鉄はもちろん、そうしたグループ会社が展開するWebサービス等のセキュリティ向上施策も担っている。
そしてグループ全体のセキュリティを万全な状態に保つべく、これまで脆弱性診断に関しては外部ベンダーに依頼をして行っていた。しかし、外部ベンダーによる脆弱性診断はセキュリティ専門家による手動診断であるため、診断結果に対して不満はないものの、診断案件が増えていくことでコスト負担が拡大し、さらに診断に伴うリソース不足が課題としてあった。
またDX推進に伴ってクラウド活用が加速する中、いかにスピード感を持って脆弱性診断に取り組んでいくかも課題のひとつとしてあったという。
「当然ながら、影響範囲の大きいコア事業は常に万全のセキュリティを担保しておりますが、新たにクラウド上に何かを構築するという場合に、毎回脆弱性診断を行うことが困難な事業部も存在します。
我々としては利便性と安全性のどちらも追求していきたいと考えており、事業展開を遅延させずにセキュリティを確保するというミッションを達成することが、状況によって難しいという課題がありました。」(経営企画本部 デジタル変革推進部 課長 黒澤氏)
社内ルールの浸透に時間がかかることで、脆弱性診断を高い頻度で行えない、また脆弱性診断を行えたとしても時間がかかることでリリースが遅れ、事業がなかなか進まないといった課題感に対し、日常的に活用できるツールを用いて脆弱性診断を内製化できないかということが、AeyeScan導入の背景だった。
ソリューションの選定
同社では様々な脆弱性診断ツールの比較検討を進めていく中で、国内製品であるかどうかが比較検討のポイントのひとつであったという。
「脆弱性診断ツールは海外製品のものも多く、日本語対応しているものはあるものの、日本語表記がおかしい部分があるなど、UIがわかりづらいと感じるツールがありました。また、ノーコードを謳っていても、実際は完全なノーコードではないツールもあります。
そうした中、AeyeScanは国内製品であるため、UIはもちろん、問い合わせも日本語に対応しています。そのため、セキュリティの専門家でなくても使いこなすことができるツールだと思えたことが導入の決め手のひとつでした」(経営企画本部 デジタル変革推進部 石川氏)
そして小田急グループ全体のセキュリティを担うため、診断対象も非常に多い中、AeyeScanであればドメイン数の制限がないことも決め手のひとつであった。
「以前まではこちらから脆弱性診断を行ってくださいと伝えても、様々な理由で事業部署およびグループ会社で実施が困難な場合にどのようにフォローしていくか課題がありました。しかし、AeyeScanであれば当社内はもちろん、グループ各社のサービスに対しても当部主動で診断を実施することができるため、
これまで脆弱性診断にリソースをかけていた事業部署およびグループ各社もとても喜んでくれました」(石川氏)
さらに、ページ数が多いサイトを診断する場合、以前までは最大で1ヶ月かかることもあったという。しかし、AeyeScanであれば診断開始からレポーティングまでの時間が短く、さらにある程度の知識がある制作会社であれば、AeyeScanのレポートをそのまま渡せば検知した脆弱性を改修することができるため、脆弱性診断から脆弱性の改修までをスピード感を持って行えることも、AeyeScan導入の決め手であった。
導入効果
以前までは、状況に応じて動的ページのみを外部ベンダーに依頼して脆弱性診断を行うといったこともあったが、AeyeScan導入後は静的ページ含め、全ページに対して脆弱性診断を行うことが当たり前に。そして基本的にはAeyeScanで脆弱性診断を行いつつ、重要度の高いページの場合は外部ベンダーへ依頼するなど、ハイブリッドな診断体制を構築。その結果、着実に脆弱性診断を行う頻度は増えているという。
「来年度はAeyeScanを利用して35サイトで脆弱性診断を行う予定です。すべてのサイトを以前のように外部ベンダーに依頼していた場合は相当な額の診断コストが発生してしまいますが、 AeyeScanであればそうしたコストを抑えて診断を行うことができ、非常に大きなコストインパクトが生まれています。
また、脆弱性診断を行い、見つかった脆弱性に対応した後に再診断を行う場合であっても追加コストをかけずに行えるため、事業部署からも喜ばれています」(経営企画本部 デジタル変革推進部 宍戸氏)
コスト負担の課題が解消されたことで、脆弱性診断の頻度を増やすことができただけでなく、事業部間でのコミュニケーションにも変化が生まれているという。
「以前までは事業部署に対して、コストをかけて脆弱性診断を行ってくださいといったコミュニケーションでしたが、現在は脆弱性診断をやるのでいつでもご相談くださいといった寄り添うコミュニケーションへと変化していきました」(宍戸氏)
また、事業特性上、目的地を設定して経路を検索するといった動的ページも多く存在する。しかしAeyeScanであれば事前に入力フォームでの項目値が設定可能であり、自動で画面遷移図が生成され、抜け漏れなく巡回されているかがひと目でわかる。
そして画面遷移図を通じて、どこで診断が止まっているかなどを視覚的に理解して対応できるため、セキュリティのプロでなくても脆弱性診断を行えるようになった。
今後の展望
70社を超えるグループ会社が存在し、さらにDX推進によって診断対象が増え続ける中、経営企画本部 デジタル変革推進部のみでグループ全体のセキュリティを担保するのには、限界がある。そこで同社では、全社でのセキュリティに関するリテラシーをいかに向上させていくかが今後の課題であると黒澤氏は語る。
「Webシステムだけでなく、独自システムをどこまでサポートするかであったり、鉄道事業の場合、制御系システムはまた別のアプローチが必要であったりと、 “セキュリティ” と一言で言っても非常に広範囲に渡ります。
また、診断結果を事業部に伝えたとしても、例えば個人情報が漏洩する可能性が高いなどの文言があれば、事業部側も判断しやすいですが、実際は専門用語も多いため、診断結果を読み取ることが出来ず、誤った意思決定をしてしまいかねません。
そのため、我々で優先順位をつけて対応する必要があることはもちろん、全社でセキュリティリテラシーを高めていくことにも取り組んでいきたいと考えています」(黒澤氏)
そして来年度は35サイトを診断対象と計画しているものの、AeyeScanのメリットはその機動性にあると宍戸氏は語った。
「診断開始からレポーティングまでの時間はもちろん、AeyeScanであれば急きょ脆弱性診断を行いたいというときでもすぐに対応可能です。だからこそ、見つかった脆弱性に対してすぐに動いていけるようにするなど、組織としても機動性の高い体制を整えていきたいと考えています」(宍戸氏)
