- 課題
- 従来使用していた診断ツールでは診断に想定以上の時間を要することがあったため、脆弱性診断がリリースサイクル短縮化のボトルネックとなっていた
- 導入
- 診断精度や診断にかかる画面登録工数・実行時間、さらに登録可能ドメイン数といった観点から診断ツールを比較し、結果としてAeyeScanを採用
- 効果
- 診断にかかる工数が大幅に削減されたことで、頻度高く診断が行えるようになり、現場・全社でのセキュリティ意識向上にも繋がっている
背景と課題
テモナ株式会社では、サブスクリプション事業における販売や顧客管理、また販売促進等を一元管理できるクラウド型システム『サブスクストア』の他、様々なEC事業の支援サービスを展開している。
昨今はサイバー攻撃によってクレジットカード情報が漏洩するなど、EC事業を取り巻くセキュリティリスクは年々増大している。テモナにおいても脆弱性診断を定期的に行いセキュリティ対策に取り組んできたが、診断にかかる工数が課題としてあった。
「以前までは他社の脆弱性診断ツールを利用していましたが、検査シナリオ登録に約1日かかっていました。検査の実行自体も、1〜2日程度で終了する見込みのところが10日かかってしまうこともあり、部全体の課題として脆弱性診断の実行時間が認識されていました」(テモナ株式会社 製品開発部品質管理グループ 横田剛志氏)
検査時間を短縮させるには試験項目を減らす必要があったが、そうすると十分な脆弱性診断が行えず、セキュリティリスクが検知できない可能性が高まってしまう恐れがある。そのため、各サービスの機能アップデートや定期リリースにおいては、自社で定めるセキュリティ基準を満たすためにも時間をかけて脆弱性診断を行うことは必須の条件だった。その結果リリースサイクルが短縮化できないという課題に直面した。
「計画的なリリースであれば、余裕を持って脆弱性診断を行えるため問題はないかもしれませんが、不具合発生時の緊急対応等では診断にかかる時間がそのままリリースの遅れに繋がってしまいます。診断を実施せずにリリースするというのは当社のセキュリティ基準上できませんから、いかに高精度の脆弱性診断をスピーディーに実現するかが課題としてありました」(テモナ株式会社 製品開発部 品質管理グループ グループ長 内橋里奈氏)
ソリューションの選定
従来まで活用していたツールでは、脆弱性診断の実行時間を大幅に短縮化することは望めない。そこでテモナでは脆弱性診断ツールの乗り換えを検討し、選定をはじめる。
「約40の脆弱性診断のサービス・プロダクトをリストアップし、Webアプリケーションの診断ができるかどうか、自社のみで活用できるツールかどうか、またサポート対応で困らないよう国内製品であるかどうかなどを考慮し、最終的に3社に絞りトライアル利用を行いました」(内橋氏)
テモナが定めるセキュリティ基準を満たすかどうかを試すべく、各ツールのデモ版を用いて同じページを試験し、検知内容を比較。またシナリオ登録にかかる工数の違いや診断レポートの違いなど、細かく比較検討を進めていった。
「様々な比較検討ポイントがあり、そのうちの一つが自動作成される診断レポートの内容でした。トライアルを実施したツールの中には、簡易的な検査結果のみで検知された脆弱性に対してどのように対応すべきかがわからないものもありました。一方でAeyeScanの診断レポートは出力してそのままエンジニアに共有できるほど、診断内容から対応方法まで細かくまとめられていることが魅力的でした」(横田氏)
課題としてあったセキュリティ検査にかかる画面登録工数と診断実行時間といった観点に加え、比較検討においては自社の活用に見合った料金体系であるかどうかもポイントだった。そうして様々な観点から移行対象のツールの選定を進めていく。
「当社の場合はエンタープライズ向けを含めると検査対象となるアプリケーションが多いため、ドメインごとに追加課金が必要となるツールではコストがかかりすぎてしまうといった懸念がありました。そうした中、AeyeScanはドメインの追加登録が無制限であり、検査の質だけでなく費用面でも当社の選定条件に合致していると判断し、AeyeScanを採用しました」(横田氏)
導入効果
脆弱性診断にかかる時間が大きな課題となっていたが、AeyeScan導入後、検査時間が大幅に短縮。その結果、より高頻繁に検査を行えるようになり、セキュリティリスクの軽減に繋がっている。
「診断対象にもよりますが以前までは検査自体に平均4〜5日かかっていたプロダクトの診断が、現在は平均2〜3日程度で行えています。そのため、金曜日までに設定すれば週明けにはレポートが出せるという検査スケジュールを組むことができ、脆弱性診断がリリース時のボトルネックとならず、助かっています」(横田氏)
「気軽に脆弱性診断が行えるようになったことで、大規模なリリースのみならず、マイナーアップデートの際も検査を行うなど、脆弱性診断を開発のレギュレーションに組み込むことができたことは大きな成果のひとつだと認識しています。検査の実行回数は以前に比べ3倍近く増えています」(内橋氏)
前回利用していたツールはオンプレ型であったため、ツールのアップデートや検査環境の構築が負担になっていたという。しかし、クラウド型ツールであるAeyeScan導入により、自社でアップデートにかかる手間もなくなり、さらにログインすればすぐに利用開始できることから各部門への引き継ぎもスムーズに行えている。
「別部署でもAeyeScanの運用をはじめましたが、オンプレ型のように個別にPCにツールをインストールするといった手間もなく、初期設定自体も簡単であるため、引き継ぎ自体は1〜2時間と想定よりも非常に早く終えることができました。あらためてAeyeScanは誰でも簡単に脆弱性診断を始められるツールなのだと感じましたね」(横田氏)
今後の展望
エンジニアおよび各プロダクトを担当する現場でも、これまで以上にセキュリティ意識が高まっているという。
「昨今は私たちのクライアントである加盟店(ECサイトの運営事業者)でもセキュリティ意識が高まっています。また、さらにその先にいるエンドユーザー(ECサイトの利用者)からもセキュリティに関してのお問い合わせをいただくこともあります。そのような情勢だからこそ、より安心安全なサービス提供が重要であると感じています。
AeyeScanは手軽に脆弱性診断が行えるツールであるため、今後は診断を実行できる担当者を増やしていき、より診断頻度を増やしていきたいと考えています。お客様に安心して使っていただけるよう、引き続き万全のセキュリティ対策を進めていきたいと思っています」(内橋氏)
サイバー攻撃による情報漏洩やクレジットカード不正利用などのリスクから、ECサイトを利用することに躊躇してしまう人も多い。様々な詐欺による被害が増えている中、いかにECサイトに対しての信頼性を担保するかが求められている。
「例えばECサイトを利用している際、仮に購入確定ボタンを押した後ずっとローディング画面が出ていたらエンドユーザーは不安に思うはずです。また、個人情報の入力画面時にサイトの挙動が不自然であればそのサイトから離脱してしまうことも考えられます。エンドユーザーのセキュリティ意識が向上してきているからこそ、安心・安全なECサイトの構築が前提になっていると感じます。
決済手段として最も利用されるクレジットカードだけでなく、様々な決済手段が利用可能な昨今、ECのカートシステムを提供する当社としては、どんな決済手段であっても安心してお買い物ができるという購入体験をいかにつくり出すかが課題です。カートシステムの提供においてセキュリティという要素は非常に重要であるからこそ、今後も全社的にセキュリティ意識を高めていくべく、脆弱性診断を行う意味を周知し、そして誰でも診断を実行できるよう社内教育にも取り組んでいきたいと考えています」(横田氏)
テモナのCTOを務める石原雅大氏はこう語っている。「以前まで利用していた他社ツールと比較して、シナリオ設定や診断実行にかかる時間が大幅に削減できており、業務の効率化やコスト削減に大きく貢献していると実感しています」(石原氏)
AeyeScan導入により、テモナはWebアプリケーション脆弱性診断の実施体制を強固にすることができている。
