お役立ち資料

定期診断を外部サービスからAeyeScanに切り替え、コストパフォーマンスを大幅に改善 | 虎の穴ラボ株式会社

#セキュア開発 #導入事例 #診断内製化

SHARE

課題
外部診断のみに依存していると、複数のサービスに対する診断コストがかさんでいた
導入
複数のドメインをカバーでき、基本的な脆弱性をしっかり指摘できるAeyeScanを選定
効果
大規模な改修時だけでなく、定期的な診断をコストパフォーマンスよく実現

背景と課題

同人誌販売を中心に、クリエイターを支援する「虎の穴」。そのサービスをテクノロジーで支えているのが虎の穴ラボだ。

近年は、隣接サービスにおいてもランサムウェアの被害を受けるなど、情報漏洩のリスクにさらされている。こうした背景から虎の穴ラボでは、自らセキュリティ関連の資格取得に取り組むCTO(現 虎の穴ラボ株式会社 CEO)を筆頭に、セキュリティを重視してサービス開発に取り組んできた。

「常に世間の情報をウォッチし、インシデントがあれば『もし同じ攻撃を受けたらどうするか、大丈夫か』を問い直し、脆弱性情報があればアップグレード依頼をかけるといった具合に対策してきました」(虎の穴ラボ株式会社 課長 藤原 佳顕氏)。その一環として、「とらのあな通販」や「Fantia」「サークルポータル」といった主要なサービスについては外部のセキュリティ企業に依頼し、脆弱性診断を実施してきた。

虎の穴ラボ株式会社 課長 藤原 佳顕氏

しかし、新機能の追加やログイン画面の変更といった大規模な改修だけでなく、ほぼ毎週のようにリリースされるサービスのサイクルに合わせて頻繁に診断を実施しようとするとコスト面がネックになると感じ始めていた。

その上、虎の穴ラボでは主要サービスだけでなく、二桁に上るさまざまな周辺サービスも開発している。「それらすべてに対して網羅的に診断を行おうとすると、ドメイン単位で契約する必要がある外部診断ではコストがかかりすぎると感じていました」(藤原氏)

ソリューションの選定

無償で使えるオープンソースの診断ツールを使いこなせるだけの人的リソースはないが、改修のたびに外部に診断を依頼するほど潤沢に予算を使えるわけでもない。そんな中でも、XSSやCSRFをはじめとする主要な脆弱性はしっかり潰し、必要十分なセキュリティレベルを満たした形でサービスを提供していきたいーー虎の穴ラボではそんな思いから、外部の診断サービスを置き換えられる脆弱性診断ツールを検討し、AeyeScanを採用した。

「基本的な脆弱性をきちんと指摘できる診断クオリティの面と、ドメイン単位で課金する必要がなく、何サイトでも診断できるコストパフォーマンスの良さを理由に選定しました」(藤原氏)。安かろう悪かろうではなく、しっかり診断が行える点を評価した。

ただ、PoCを経て、「これまで外部に依頼してきた診断をそのまま入れ替えたい」という当初の方針は少し変化した。

「試してみて感じましたが、やはり、権限周りなど人間でなければできない脆弱性もあり、外部サービスを完全に置き換えることは困難です。それでも、簡単に見つけられる脆弱性の有無を機械的に確認できる方がいいだろうという上層部の判断もあり、導入が決まりました」(虎の穴ラボ株式会社 服部 和哉氏)

導入効果

虎の穴ラボが開発するサービスは多岐に渡り、開発環境もWordPressもあればRuby on Rails、あるいはJava系もあるといった具合だ。そんなバリエーションに富む複数のサービスを対象に、順に月に一回程度のペースでAeyeScanによる診断を実施している。

システムのリプレースのような大規模な改修時には外部による診断サービスを実施しているが、定常的な診断はAeyeScanを用いて社内で実施し始めている。「複数のドメインをコストパフォーマンスよくスキャンできるのがありがたいですし、それほど設定も難しくなく、基本的な脆弱性を検知できています」(虎の穴ラボ株式会社 課長代理 中村 優吾氏)

「人の手で見つけようとするとけっこうな手間がかかるCSRFの脆弱性なども、AeyeScanでは簡単にわかります。また、『こんな指摘もあるんだな』と、自分たちが持っていない観点に気づける点も利点だと感じました」(服部氏)

AeyeScanの自動巡回機能が生成する画面遷移図も、「どこにクリティカルな脆弱性が存在するか」はもちろん、リンク切れなど脆弱性以外の問題を把握する上で重宝している。「どの画面を診断したかがビジュアルに示され、本当に診断したか、一階層下のページも見ているかといった事柄もわかるため、とても便利だと感じています」(服部氏)

指摘された脆弱性は、実際のリスクも熟知しているプロダクトチームに共有し、修正するか、それとも容認するかの判断を委ねている。これまでに指摘されたのは、HTTPヘッダー周りの不備など軽微なものがほとんどだが、「定期的にチェックし、脆弱性に気づいて修正できる体制が整ったことで、セキュリティ意識が高まるという意味で非常にメリットを感じています」(中村氏)。こうしてセキュアな開発に関するノウハウを蓄積していくことで、より強固なセキュリティ対策につながると期待している。

今後の展望

AeyeScanの導入により、決してセキュリティ専門家というわけではない虎の穴ラボのメンバーでも、基本的な脆弱性は確実に検査できるようになった。

加えて「外部に依頼する場合は、事前にデータを用意したり、契約を結ぶ必要があったりで準備が大変でしたが、AeyeScanは自分たちのトリガーで、勝手気ままに診断できるところが強みだと考えています」(中村氏)。スケジュールが切羽詰まる中、どのタイミングで診断を実施するかに頭を悩ませることもなくなった。

予算の付きやすい主要なサービスだけでなく、周辺の細かなプロダクトに対してもセキュリティを確認できていることも安心感を増している。「売り上げがそれほどでもない小規模なサービスに対し、何百万円もかけて診断するという判断はなかなか下しにくいものです。AeyeScanを使うことでそうしたサービスについても必要十分な診断ができるようになっています」(服部氏)

今後はCSIRTの整備をはじめ、さらなるセキュリティ施策を進めていく。また年に一回程度の外部の手動診断を継続し、人間の目に頼らないと検出が難しい問題をチェックする一方で、AeyeScanによる高頻度でのチェックを併用し、サービスのセキュリティをいっそう高めていく方針だ。CIのサイクルにAeyeScanを組み入れ、コンテナに対する定期的な脆弱性診断を自動的に実行していくことも検討していきたいという。

虎の穴ラボ株式会社

虎の穴ラボ株式会社

「とらのあな通信販売 」、 「Fantia(ファンティア) 」等、 主にとらのあな関連サービスのシステム開発を専門に担う、エンジニアの会社。より便利で革新的なサービスを目指し、フルリモートワークで日々の開発業務に取り組む。

https://toranoana-lab.co.jp/

AeyeScan

AeyeScanの導入を検討してみませんか?

操作性の確認、
実際に利用してみたい方へ

「AeyeScan」の無料トライアル

トライアルにかかる費用は不要。実際の操作性はどうなの?またどのように脆弱性が発見されるのか?などの疑問は無料トライアルで解消しましょう。

無料トライアルの申し込み

サービスをより詳しく
知りたい方へ

「AeyeScan」のサービス紹介資料

改めてサービスの特長や導入効果、企業の導入実績などAeyeScanについてより詳しく知りたい方はぜひサービス紹介資料をご覧ください。

サービス紹介資料を読む

お見積もりの希望・導入を
ご検討している方へ

「AeyeScan」へのお問い合わせ

お見積りの希望・導入をご検討してくださっている方はお問い合わせフォームよりご連絡ください。当日もしくは遅くとも翌営業日にはご連絡を差し上げます。

お問い合わせフォーム
icon-arrow