- 課題
- 週に2~3回というスピーディなサービス開発・リリースに対応できるセキュリティ対策ソリューションが必要だった。
- 導入
- 一年を通して何回でも診断でき、コストパフォーマンスに優れている点が決め手となりAeyeScanを導入した。
- 効果
- すべてのサービスに対して順次スキャンを実施、導入してから約3カ月の短期間で一通りの検査および脆弱性への対応が完了した。
背景と課題
「ペットの家族化推進」を掲げるスタートアップ企業、TYLは、ペットの健康を守る動物病院に対する経営支援・転職支援サービスや、ペットの飼い主向けのヘルスケアサービス、ペットシッターの仲介サービスなど、次々にサービスを展開してきた。ペットが健康かつ幸せに暮らせる環境を作り、それを通して飼い主もまた幸せな生活を送れるようにすることが目的だ。
このミッションを達成するためTYLでは「まずチャレンジしてみること」を重視している。「ペットや飼い主のためになりそうなアイデアがあれば、『できる、できない』を問う前にまずチャレンジしています」(管理本部 田島 奈実氏)。この結果、創業6年あまりで16種類ものサービスを展開している。
必然的に、サービスの企画から開発、リリースまでのスピードも非常に早い。サービスによっては継続的デプロイメント(CD)を取り入れ、週に2〜3回というペースでリリースを繰り返している。
このスピード感はビジネス展開では大きな武器になっているが、セキュリティ対策という面で不安が残っていたのも事実だった。
「新しく開発する部分については、セキュアコーディングなどのルールを定めて脆弱性を作り込まないような開発を進めていましたが、過去に開発した部分については『見て見ぬ振り』がないとは言えない状況でした。リリース当初は問題がなくても、新たに脆弱性が発覚するリスクもあるため、何らかの手を打つべきだと感じていました」(マーケティング部 マネージャー 森 徹氏)
セキュリティインシデントのような形でリスクが顕在化する前に、先回りして対処する必要性を感じていた。
ソリューションの選定
こうした背景からTYLは、自社でできる範囲の対策を実施しつつ、第三者による脆弱性診断サービスを導入してセキュリティ品質の向上・担保に取り組むことにした。外部の専門家に頼る方がより効率的に対応できるという判断もあった。
早速市場を調査し、ピックアップした3つの候補の中から選択したのが「AeyeScan」だった。
理由の1つは、クラウドサービスとして提供され、定額で何度でもスキャンを実行できることだった。「セキュリティ対策は一度実施して終わるものではありません。他のサービスでは一回限りのスポット的なサービスだったり、多くても半年に1回程度という設定が多かったのですが、AeyeScanは一年を通して何回でも診断でき、コストパフォーマンスに優れている点が決め手になりました」(田島氏)
もう1つの決め手になったのは、エーアイセキュリティラボの顧客に寄り添う姿勢だった。TYLはペットや飼い主向けの事業や開発に関する知識は豊富でも、最新動向も含めたWebセキュリティの専門家ではない。
「そもそもセキュリティ診断サービスの評価・選定自体が初めての体験で、何を基準に選定すべきかもよくわからない状況でした。そんな風に悩んでいる私たちの状況を理解した上で、『こういったポイントを確認する方がいいでしょう』と、専門家として客観的なアドバイスをいただけたことが印象に残っています」(森氏)。商売はひとまず置いておいて、TYLの課題を掘り下げて支援する姿勢に安心感を抱き、AeyeScanを選択した。
導入効果
2022年9月から診断サービスの検討を開始したTYLだが、そこからの検証・導入作業も非常にスピーディに進んでいった。
TYLのサービスは、今まさに開発中のものから5〜6年前に開発したものまで多種多様で、サービス内容や時期によって作りが異なっている。「利用者が入力する情報、項目が異なり、画面数もまちまちで、開発した時期によって特徴が異なります」(森氏)。まず、これら多様なWebサービスに対して、不要な部分はスキップさせつつ適切かつ迅速に検査が行えるか、検証(PoC)を実施した。
「いくつか特徴の強いサイトをピックアップし、どこまで手をかけずに設定できるかを意識しながら評価を行いました。サイト数が多いため手間がかかる部分もありましたが、AeyeScanならば問題ないと確認が取れ、本格的に導入を進めることにしました」(森氏)
こうして11月末にAeyeScanの採用を決定し、12月半ばから早速いくつかのサービスに対する検査を開始するという、TYL得意のスピード感で導入を進めていった。SaaS形式で柔軟に検査が実施できるAeyeScanならではのメリットも感じたという。
「AeyeScanには、あらかじめ入力しておいたスキャンのリクエストがキューに蓄積され、週末や夜間に順次処理してくれる機能があります。週末の間に回したいスキャンを金曜の夕方に積んでおいて、月曜の朝、出社して結果を確認し、終わっていないところがあれば夜間や翌週にスキャンをかけるといった具合に、時間効率よくスキャンを実施できました」(森氏)
すべてのサービスに対して順次スキャンを実施し、2023年3月には一通り検査および指摘された問題への対応が完了する見込みだ。
指定された問題を修正して再スキャンする際にも、必要な検査だけをピックアップして実施できるため、効率的に進められたという。「通常の業務も抱えながら対応するため、すべての検査に一気に対応するとなると時間が取りにくいのですが、AeyeScanの場合は、『次の会議までの30分の間にこの指摘に対応し、会議中にスキャンを回しておこう』といった具合に細かい粒度で対応でき、非常に助かっています」(森氏)
さらにエーアイセキュリティラボのサポート体制にも助けられ、無意味な待ち時間が発生することなく検査体制を整備できた。「問い合わせへの応答が当日や翌日に来るのは当然として、問い合わせ内容に対する回答も数日以内にいただけます。機能追加や修正が必要な依頼に対しても、その週末にはアップデート版がリリースされるという具合です。我々もスピードを旨としていますが、エーアイセキュリティラボも負けず劣らすスピードが早いなと感じています」(森氏)
今後の展開
「AeyeScanの導入によって、これまで見ないふりをしていたサイトに対してもきちんと検査を実施し、指摘された問題をしっかりつぶしていくことでリスクヘッジができ、心理的な安全性にもつながると期待しています」(森氏)。指摘された脆弱性がゼロというわけではなかったが、思っていたほど深刻な問題は検出されず、「意外ときちんとしたセキュリティ品質で開発できていた」という手応えも得ているそうだ。
しかも、「料金面も納得いくもので、予算の範囲内でコストパフォーマンスよく検査を実施でき、非常に感謝しています」(田島氏)という。
もっとも、AeyeScanの導入はゴールではなくあくまでサイクルの一周目、それもまだ途中にあるという認識だ。「全サイトに対するスキャンを実施したので、そこで指摘された内容の分析やカテゴライズを始めています。問題の傾向や対策をうまくまとめ、次のアクションにつなげていきたいと思っています」と森氏は述べる。
こまめにスキャンを回し、問題を指摘されることによって、脆弱性につながるようなコードを開発者が自ずと書かないようになる教育効果にも期待している。これが実現できれば、開発プロセスの後段に入ってからの手戻りや修正を減らすことができるはずだ。「AeyeScanを使って、開発のスピードを落とさずにセキュリティも保証するような開発サイクルを実現できたらと考えています」(森氏)
TYLは引き続き新たなサービスの開発も続け、ビジネスを拡大していく。「今後もサービスを増やしていく前提の中で、どうセキュリティを担保していくかは、我々にずっとつきまとう課題だと思っています」(森氏)
今後、CI/CDサイクルの確立に取り組む中でAeyeScanによるセキュリティ検査を組み込み、DevSecOpsにつなげるといった具合に、スピードを犠牲にすることなく安心・安全なサービスを広げていくことを目指し、「セキュリティは見て見ぬ振り」からの脱却を図っていく。
