- 課題
- 頻繁なリリースに対し、診断のコストや準備工数がネックとなり、高頻度な脆弱性診断の実施が困難だった
- 導入
- 公的機関であるIPAによる検証を受けたAeyeScanを選定。開発者にとってわかりやすいレポートも評価
- 効果
- 診断に要する人員と時間を全体的に削減し、運用コストを大幅に圧縮。開発者とのコミュニケーションコストも低減された
背景と課題
イープラスはコンサートや演劇、スポーツの試合、各種イベントなどのチケット受託販売を主軸に、ライブ・エンタテインメント市場の発展を支えてきた。Webサイトやスマホアプリ等を通してサービスを展開し、決済からチケットの受け取りまでスマホで完結できる電子チケットサービス「スマチケ」をはじめ、常にユーザーの利便性向上を追求している。
しかし、その事業規模とサービス展開の裏側には、常に高度なセキュリティ課題があった。人気チケットの発売日にはシステムへのアクセスが殺到するだけでなく、ボットを用いた不正なチケット申し込み、さらにはシステムの脆弱性を悪用しようとするサイバー攻撃もゼロではない。
こうした脅威に対し、システム自体の強靱性を高めることに加え、コンテンツデリバリネットワーク(CDN)による高負荷・ボット対策、Webアプリケーションファイアウォール(WAF)による不正アクセス制御といった多層的なセキュリティ構成を講じてきた。
それでも、「仮にWAFをくぐり抜けてくる攻撃があれば、脆弱性を突かれてしまいます。そのため、私たちが開発したシステムの脆弱性管理も常に必要な課題だと認識していました」と、システム部統括部長の尾崎欧州氏は話す。
一方で、イープラスのシステムは、ビジネスの成長に合わせて非常に高頻度で改修が行われている。
「常に細かなバグの修正や機能改変を続けており、月に何度もリリースを行っています。そのたびに脆弱性診断を実施するのは現実的ではありませんでした」(尾崎氏)
もちろん、大規模な改変時には外部ベンダーへ診断を依頼していたが、費用面での負担が大きいことに加え、診断前の調整や準備作業に多くの時間を要し、望むようなタイミングで診断を実施できないというジレンマを抱えていた。
ソリューションの選定
そこでイープラスは、自社で希望するタイミングで脆弱性スキャンを実施できる方法を模索し、様々な展示会に足を運ぶなどして情報収集を進めていった。そうした中で「情報セキュリティEXPO」で出会ったのがAeyeScanだった。
AeyeScan選定の大きなポイントとなったのは、情報処理推進機構(IPA)の「2021年度セキュリティ製品の有効性検証」における対象製品として選定され、その検証結果が公開されていたことだ。IPAという公的機関による検証を経て一定の「お墨付き」を得た製品ならば、自社内はもちろん、取引先に対する説得力が高まると判断した。
「一部のお取引先様には、チケット販売を委託いただくだけでなく、我々のシステムを貸し出しています。そうしたお取引先様から監査を求められた際、オープンソースのツールではなく、公的機関に認められたツールを採用することで、根拠のある形で脆弱性診断を実施していると説明できるのは、非常に強いと思いました」(尾崎氏)
2つ目のポイントは、AeyeScanがクラウドサービス形式で提供されるため、常に最新の脅威情報を反映してスキャンの内容がアップデートされる点だった。
「自分たちで最新の攻撃手法や脆弱性に合わせて準備すると、工数がかかりすぎます。サービス提供側で、最新の脅威に対応したアップデートを実施してくれるのは非常にありがたいことだと感じます」(尾崎氏)
そして3つ目のポイントは、レポートのわかりやすさだ。脆弱性が指摘されれば、アプリケーション開発者と情報を共有し、適切に修正を進める必要がある。そのため、セキュリティ担当者だけでなく開発者にとってもわかりやすく、具体的な修正方法がわかる情報が求められる。
イープラスでは、チケット販売サイトを対象に4ヶ月間ほどPoCを実施し、その過程でレポートの質の高さを実感した。
「AeyeScanが自動生成するレポートは非常に見やすく、外部ベンダーが人手で診断して作成するのと遜色ない内容が提供されます。開発者が修正すべきポイントを容易に判断できる情報がきちんと掲載されている点が大きいと思います」(尾崎氏)
また、PoCでは、OWASP Top 10に基づく脆弱性を検出しつつ、過検知が少ないという診断そのものの確かさも確認し、導入を決定した。
導入効果
イープラスではチケット販売サイトに加え、一部取引先に提供している販売システムも対象にAeyeScanを導入し、2024年3月から運用を開始した。診断すべきシステムが多岐にわたることから、機能ユニット単位で、おおむね四半期ごとに定期スキャンを実施するという運用ルールを定めた。診断の結果、脆弱性が指摘されれば、その情報を社内の管理システムに登録し、開発担当者や開発企業と連携しながら対応している。
外部に診断を委託していた時は、事前に診断対象の画面遷移をまとめたり、アクセスに必要なネットワーク設定を実施したりと、さまざまな下準備が必要だった。しかし、AeyeScan導入後はそうした手間が省け、一人で診断業務を完結できるようになっている。実際に診断作業を担当しているシステム部 運用担当の他田達也氏は「他の業務と兼務しながらでも、脆弱性診断の一連のプロセスを自分一人で回せています」と評価している。
AeyeScan導入後、これまでのところクリティカルな脆弱性は発見されていないが、取引先からのセキュリティに対する納得感は向上したという。
「自分たちが手作業で診断した結果ではなく、サードパーティのツールによる客観的なエビデンスをきちんとお取引先様に示すことができるため、納得感を持っていただけていると思っています」(尾崎氏)
また、PoCの時点から評価していたレポートについても、期待通りのクオリティだと実感している。
「脆弱性の名称や具体的な対策方法も診断結果に明確に示されているため、開発担当者に理解していただく上で非常に助かっています」(他田氏)
開発者との間で「そもそもどこに問題があるのかあいまいだし、何をすべきかわからない」といったやりとりが発生することも解消され、コミュニケーションコストの低下につながっている。
何よりも、診断に要する人員と時間を全体的に圧縮でき、運用コストの削減に直結した点が最大の効果だという。
「診断対象が幅広いため、もしすべてを外部に依頼していたら、AeyeScanの年間ライセンス料の数倍はかかっていただろうと思います。そういった意味で、私たちにとって非常にコストパフォーマンスの良いサービスになっています」(尾崎氏)
今後の展望
イープラスにとって、チケット販売システムに存在する脆弱性を突かれ、情報を漏洩させてしまうような事態は絶対に避けなければならない最重要リスクだ。それを防ぐため、AeyeScanを用いた定期的な診断を運用に定着させるとともに、プラットフォーム診断やASM(Attack Surface Management)と組み合わせた総合的なリスク管理にも強い関心を抱いているという。
今後もイープラスでは、引き続き新システムの開発とサービスの拡張を進めていく方針だ。それに比例してスキャンすべきセキュリティ対象範囲も広がっていくが、そうした状況下でも、AeyeScanを継続的に活用していく考えだ。
「エンジニアの数が限られ、人手が足りているとは言えない社会環境において、優れた診断をコストパフォーマンス良く、自前で任意のタイミングで実施できるという意味で、AeyeScanは素晴らしいツールだと思います」(尾崎氏)
