- 課題
- 以前までは外部ベンダーに脆弱性診断を依頼していたが、診断頻度を増やす上でコストと時間がボトルネックとなっていた
- 導入
- 脆弱性診断を内製化すべく、専門家でなくても操作でき、かつ自社のセキュリティ基準を満たす診断項目であったことからAeyeScan導入を決定
- 効果
- 診断頻度を増やすことができ、セキュリティレベルが大幅改善。以前に比べて約3割の診断コスト削減に繋がっている
背景と課題
1801年に創業して以来、220年以上に渡って物流事業を中心に社会へ価値提供を行ってきた鈴与株式会社。現在は総合物流企業として、物流事業はもちろん、データソリューションやリース事業など、幅広いサービスを国内外で展開している。
そうした中、物流・運送業界ではドライバーの労働時間が規制され、モノが運べなくなるといった「2024年問題」が懸念されているが、物流課題はドライバー問題だけではない。
2023年7月に名古屋港コンテナターミナルでランサムウェアによるシステム障害が発生。システム停止はそのまま物流業務の停止を招いてしまうため、社会インフラである物流を止めないために、業界全体でサイバー攻撃への対策も大きな課題となっているという。
「昔であれば、システムがなくてもモノを運ぶということができていました。しかし、昨今はシステムですべてを管理しており、システムが停止してしまうと何もできず、物流が止まってしまいます。システムを停止させないためにも、サイバーセキュリティが今まで以上に重要になっています」(情報システム室 システム開発チーム チームリーダー 渡邉氏)
これまで同社では社内向けの業務システムの開発が中心で、外部向けのWebシステムはさほど多くはなく、脆弱性診断は都度、外部ベンダーに依頼をして行うといった状況であった。
しかし、物流データを活用した新たな価値提供を推し進めていくべく、同社ではWebシステムを積極的に開発していく方針へと転換。そうしたときに、脆弱性診断にかかるコストと時間がボトルネックとなっていた。
「以前までは外部ベンダーに脆弱性診断を依頼していましたが、どうしても都度コストが発生してしまうため、対象となるWebシステムが増えれば増えるほど、コストが膨らんでいってしまいます。
さらに外部ベンダーに依頼する場合は見積もりや契約だけでも1ヶ月かかるなど、実際に診断を開始するまでに多くの時間を要していました」(情報システム室 システム開発チーム 佐野氏)
より頻度高く脆弱性診断を行おうとすると、コストと時間といった制約が発生してしまう。そこで同社では脆弱性診断を内製化していくと判断したことが、AeyeScan導入の背景だった。
ソリューションの選定
同社では複数ツールを実際にトライアル導入し、比較検討を行っていく。そして脆弱性診断ツールの比較検討を進めていく中で、同社が重要視していたことの1つが、セキュリティの専門家でなくても扱えるツールであるかどうかであった。
「当社はITに精通している人材ばかりという会社ではありません。そうした中、社内異動もあるため、リテラシー問わず誰でも操作できるかどうかが比較検討のポイントのひとつでした。そして、実際にAeyeScanをトライアルで使ってみると、他ツールに比べて診断開始までの工数が少なく、UI含めて誰でも使いやすいツールであると感じたことが導入の決め手の一つでした」(佐野氏)
当然ながら、診断品質についても比較検討の重要なポイントであり、以前までの方法(外部ベンダーに依頼して行っていた手動診断)と同等の診断結果を得られるかどうかが懸念事項としてあったという。
「トライアルで実際に得られた結果では、外部ベンダーによる診断で検知された項目と同じ脆弱性を検知していましたし、OWASP Top 10に取り上げられた項目をAeyeScanはほぼカバーしているため、安心して使えるツールだと実感しました。
また、セキュリティの専門家でなくてもどういった対策が必要なのか、どういったところに問題があるのかを理解できるレポートで、さらに自動で生成される画面遷移図で抜け漏れなく巡回されているかが見えやすいため、質の高い診断を誰でも行えるツールであることが最終的な導入の決め手でした」(佐野氏)
そして同社ではあらためて脆弱性診断の社内ルールを策定。新規開発では外部ベンダーによる脆弱性診断を行いつつ、定期的な診断はAeyeScanを活用するなど、ハイブリッドでの脆弱性診断体制を構築していった。
「通常業務があると、どうしても脆弱性診断が後回しになりがちです。そこで脆弱性診断の意義をいかに社内に浸透させていくかが重要で、ミーティング等で脆弱性診断を行っているかどうかを確認するなど、セキュリティ意識の醸成にも取り組んでいます」(渡邉氏)
導入効果
以前までは診断開始までに長いと数ヶ月といった期間を要していたが、現在同社ではAeyeScanを活用し、スピード感のある脆弱性診断を実現。その結果、診断自体の回数も増やすことができ、さらに緊急度の高い脆弱性が見つかった場合はすぐに改修を依頼するなど、セキュリティレベルの改善にも繋がっている。
「AeyeScanであればシナリオ作成も1日かかりませんし、1週間以内にはシナリオ作成から診断開始まで実行できるようになっています。その結果、定期的に診断を行えるようになっていますが、もしも同じ量の診断を外部ベンダーに依頼していた場合、相当のコストがかかっていたでしょう。
実際に診断にかかるコストは、導入前と比べて約3割削減できています。さらに、AeyeScanは従量課金ではないため、今後診断対象が増えていったときによりコストメリットが出てくると感じています」(佐野氏)
AeyeScan導入によって、脆弱性診断にかかるコストや時間が削減できただけでなく、開発サイドでのセキュリティ意識の向上も見られている。
「これまで社内向けの業務システムが中心であったため、開発サイドでのセキュリティ意識はいまほど高くはありませんでした。しかし、AeyeScan導入以降、見つかった脆弱性に対してどうするかなどのコミュニケーションが生まれていった結果、開発時点でいかに脆弱性をなくすかということを意識した設計ができるようになり、着実にセキュリティ意識の改善が見られています」(渡邉氏)
今後の展望
物流事業だけでなく、建築や食品、さらには地域開発事業など、様々な事業を展開し、約140社が集う鈴与グループ。今後は、そうしたグループ会社におけるWebシステムのセキュリティ担保も行っていきたいと佐野氏は語る。
「現在、AeyeScanを活用しているWebシステムはまだ数が限られておりますが、今後は対象システムを増やすことはもちろん、システム開発の検収項目にも脆弱性診断を設けるなど、より強固なセキュリティの担保を行っていきたいと考えています。
そして将来的には、鈴与グループ全体のWebシステムの脆弱性診断を行えるような体制を構築していければと考えております」(佐野氏)
最後に、あらためてAeyeScan活用の感想を渡邉氏、佐野氏、また情報システム室 室長 橋本氏より頂戴した。
「AeyeScanは視覚的にわかりやすく、誰でも操作できるということが特徴のひとつだと感じています。たとえば自動巡回で画面遷移図が生成されますし、脆弱性が検知された場合は遷移図上で表示されるため、どの画面に脆弱性があるのかがひと目でわかります。
さらにレポートに関してもわかりやすく、そのまま開発会社に渡すだけで対応してもらえるため、非常に満足しています」(渡邉氏)
「脆弱性診断は専門的な知識がなければ実施できないと思われがちですし、私自身もそう思っていました。しかしAeyeScanであれば誰でも操作できるため、脆弱性診断に対する心理的ハードルが下がりましたし、脆弱性診断が身近になったからこそ、セキュリティに対しての意識が高まったと感じています。
昨今はどの企業もWebシステムを活用されているでしょうから、たとえセキュリティの専門チームがない場合でも、AeyeScanは導入して効果を感じられるツールです」(佐野氏)
「当社はスクラッチ開発が多いため、日々変化するセキュリティの脅威への対策が欠かせません。そうした中、セキュリティリスクの早期発見と軽減、そしてコンプライアンスの遵守、信頼性向上、またコスト削減にAeyeScanは貢献してくれていると感じています」(情報システム室 室長 橋本氏)
