- 課題
- 以前の診断ツールは設定しにくく、いざスキャンを開始しても時間がかかり過ぎていた
- 導入
- 専門家でなくても利用でき、短い時間でわかりやすいレポートを出力するAeyeScanを選定
- 効果
- 数日はかかっていた診断所要時間を1日足らずに短縮でき、わかりやすい遷移図も出力
背景と課題
株式会社バリューHRは、「健康情報のデジタル化と健康管理のインフラ企業」を掲げ、健康保険組合の保健事業や企業の健康管理支援サービスを提供している。
「お客様の機微な情報を大量に預かって健康系のサービスを提供している会社ですから、当然ながら、セキュリティ強化は欠かせません。サービス提供=セキュリティ強化という位置づけで取り組んでいます」(株式会社バリューHR 情報システム本部 マネージャー、神田幸一氏)
具体的な対策として、IPAのセキュリティガイドラインをベースに独自の「社内セキュリティ基準」を策定。それに基づいてインフラとWebアプリケーション開発、それぞれにおいてセキュリティポリシーの策定にはじまり、ミドルウェアの脆弱性対応などを実施してきた。さらに、Webアプリケーションについては、開発部門がコードレビューやソースコード診断を行う形でセキュリティの担保に努めている。
しかしこの数年、Webアプリケーションの脆弱性を狙った不正アクセス事件は後を絶たない。さまざまなインシデントを踏まえ、バリューHRに対し「サービスに対し定期的な脆弱性診断は行っているか」という項目も含んだセキュリティ実施体制を尋ねてくる顧客が増えてきた。中には、顧客自らバリューHRのサービスに対し、外部から脆弱性診断を行うケースもあったという。
こういった動向を踏まえ、「お客様に尋ねられたり、指摘されてから対応するよりも、自分たちで能動的に診断を実施して脆弱性を把握し、必要に応じて修正する方がいいのではないかと考え、脆弱性診断ツールを導入し、自分たちで診断を始めました」(神田氏)
ソリューションの選定
当初利用していた診断ツールは価格こそ安かったものの、運用していくにつれ、いくつかの問題が目立つようになっていた。
一つは設定のわかりにくさだ。神田氏らが所属するシステムアドミニストレーターグループ(SAグループ)はインフラ管理が主な業務で、必ずしもセキュリティ専門というわけではない。このため、肝心の診断を始める前までに多くの時間と工数を要し、負荷が高かった。もう一つは診断そのものに要する時間で、いざ診断を実施しても対象範囲をすべてチェックできないことが多々あった。「三日かかってスキャンが終わったように見えても、実際は診断しきれていないことがありました」(神田氏)
かといって外部に診断を依頼する方法では、診断タイミングに制約が生じてしまう。「自由に設定をして、自分たちの好きなタイミングでスキャンをしたいことが条件でした」(神田氏)
そこで、普段から付き合いのあるベンダーからの紹介も含め、新たにいくつかの候補を検討した。その結果、これまで悩まされてきたスキャン時間が短縮でき、使いやすいことを重視して選定したのが、AeyeScanだった。
「以前使っていたツールでは、スキャン対象のURLを登録するだけでなく、ユーザーIDやパスワードの仕様を調べた上で設定する必要があり、細かい項目となると開発部隊に確認しなくてはなりませんでしたが、AeyeScanではその辺りが非常に楽だと感じました」(神田氏)
さらに「実際に触ってみると、OWASP TOP 10に沿って出される診断結果レポートがわかりやすく、発見された脆弱性がカテゴライズして示されます。しかも、必要以上に細かな情報は表示させないこともでき、好印象を抱きました」(神田氏)
導入効果
バリューHRのSAグループでは現在、主要なサービスの一部を対象にAeyeScanを用いた脆弱性診断を始めている。「お客様よりも先に、いち早く我々側で脆弱性を把握できるようになりました」と神田氏は述べる。
診断結果は開発チームに共有して必要に応じて修正しているほか、要望があれば顧客に示すこともある。サービス導入前の顧客から「セキュリティ診断はどのように実施しているのか、結果はどうか」と質問を受けた際にも迅速に回答できるようになり、開発者はもちろん、営業担当者にとってもメリットが得られている。
実際に使ってみると、当初はあまり重視していなかった巡回機能(画面遷移図)の有効性に気づいたという。「いままで、我々のサービスにどのくらいWebページがあり、どのようにリンクされているか、ドキュメント化されていないものが多数ありました。それがAeyeScanでスキャンをかけると、互いのつながりも含めてどのような構成になっているかが非常にわかりやすい図面で表示され、すべて把握できるようになりました」(神田氏)
診断に要する工数も削減できた。「スケジュールさえ組んでおけば、その時間になれば自動的にスキャンが実施されます。こちらはその後のことは気にしなくていいため、工数が減っています」と、神田氏は評価している。
結果として、「一概に比較はできませんが、以前使っていた他のツールでは、診断の設定に当たって『この項目はどういった意味で、どんなパラメータを入力すべきか』を問い合わせたりして一日や二日はかかっていましたが、AeyeScanだと30分もあれば十分です。診断そのものも、数日かけても実際には完全に終わらなかったものが、AeyeScanでは一日で終えることができます」という。
今後の展望
機能面をはじめ、AeyeScanに満足しているという同社。使い方に関しても、そもそも行き詰まるほど困ったことがなく、サポートに頼る場面もほとんどなかったという。
今後は、「すでにリリースされ本番稼働しているサービス全体を定期的にスキャンするほか、新たな機能やアップデートが加えられた際にスキャンを実施し、脆弱性がないことを確認してからリリースしていくという二つの方法で活用を考えています」(神田氏)。運用を重ねつつ、ゆくゆくは診断対象を全サービスに拡大する予定だ。
開発プロセスにスキャンという工程が一つ加わるのは事実だ。しかし、「我々はお客様最優先です。お客様がセキュリティを求めている以上、社内でも経営層をはじめ全社でセキュリティを重視し、セキュリティポリシーの中で定めたことを実施しています。セキュリティ強化は自分たちのためにやらなければいけないことだと皆が認識し、AeyeScanを活用しながら取り組んでいきます」(神田氏)
