- 課題
- 手動診断や外部診断サービスでは、事業がスケールしていくスピードに合わせた診断が困難になっていた
- 導入
- セキュリティチームはもちろん、開発チームでも使いこなせる使い勝手の良さを評価し、AeyeScanを選定
- 効果
- 以前に比べ、短期間で開発から診断までをスピーディに実施し、サービスのセキュリティを担保
背景と課題
ビデオレンタル店からスタートしたゲオグループは、M&Aなどを通して事業を拡大し、今や全国に2,000を超える店舗ネットワークを構築している。主要事業であるDVD・CD、ゲームソフト、書籍のレンタル・リユースを行う「ゲオ」に加え、衣類や雑貨を扱う「セカンドストリート」など、幅広い事業を展開。国内のみならず、マレーシアやタイ、台湾など海外にも進出し、グループ全体で成長を続けている。
ゲオホールディングスのセキュリティチームでは、海外拠点も含めた会社の資産を守るべくセキュリティの担保に努めている。
「事業部側のシステムオーナーと協調し、セキュリティリスクを明らかにして一緒になって解決していくことが、我々に求められる役割だと考えています」(ゲオホールディングス グローバルシステム管理部 情報セキュリティ課 担当者)
創業当初からIT活用に積極的だった同社は、店舗運営を支える各種システムに加え、Webサイトやスマホ向けアプリを活用したオンライン販売事業も拡大してきた。しかし、便利で多様なサービスが広がるほど、攻撃者のターゲットとなり得る「アタックサーフェイス」も比例して増大し、セキュリティにおける課題が浮き彫りになってきた。
「これまで、重要なシステムのリスク分析の一環でWebアプリケーションの脆弱性診断を行っていましたが、事業のスケールスピードに合わせた診断が徐々に難しくなってきたと感じていました」(担当者談)
ゲオホールディングスでは、事業ごとにIT開発チームを抱え、必要なシステムを自社で開発しつつ、診断は必要に応じて外部の会社に依頼してきた。しかし、このやり方では、リリースまでのスケジュールを見据えた他工程との調整が必要になるほか、サイトの規模によっては想定以上にコストがかさむといった課題が顕在化。かといって、他にもさまざまなタスクを抱えるセキュリティチームが、社内のシステムすべてを診断するのは非現実的だ。
診断対象となるWebアプリケーションが今後も増加していくことが確実なことから、何らかの形で自動的に診断を行えるツールを導入する必要があると判断した。
ソリューションの選定
課題解決に向け、同社が最初に検討したのは、社内で手動診断を行う際に利用していた「Burp Suite」のEnterprise Editionだった。しかし、将来的には各事業部のIT開発チームにも診断を任せることを考えると、インターフェイスや操作性の面で課題があった。
他にも複数の診断ツールを比較検討したが、「安価ではあるが、診断内容がシンプルすぎる」、あるいは「昔ながらのインターフェイスで、Web開発者にとって使いづらい」など、いずれも合格点を出しにくい状況だった。
こうした中、AeyeScanを試したところ、まず使い勝手の良さに好印象を抱いたという。
「グラフィカルな画面遷移図により、どこにどのような脆弱性があるかが一目でわかるのがポイントでした。また、各項目にマウスオーバーすると詳細情報がポップアップ表示され、基本的にマニュアルがなくても操作できるよう設計されている点も好印象でした」(担当者談)
これならば自分たちセキュリティチームはもちろん、IT開発チームでも使いこなせるのではないかと考え、2025年1月からトライアルを開始。その手応えから、採用を決定した。
「他社のECサイトが攻撃に遭う事例や、社内の脅威モデリングを通じて、IT開発チームにもWebセキュリティ対策が重要であるという意識を共有しています。ただ、当初は『自分たちで診断ツールを使うのは難しいのではないか』と懸念する声もありました。しかし、実際にAeyeScanを試すことで『これならばできそうだ』と手応えをつかみました」(担当者談)
AeyeScanがSaaS形式で容易に導入できることも、社内展開をスムーズに進める後押しとなった。
導入効果
導入当初はセキュリティチームがメインとなってAeyeScanでの診断をスタートし、徐々に各IT開発チームへと展開を進めていった。将来的には、グループ会社の開発チームへの展開も視野に入れているという。
「AeyeScanの導入後は、診断作業をIT開発チームが行うことになりました。基本的には設定を行い、ボタンをポチッと押すだけで診断が走り、終わったら結果を見て修正すべきところを修正するだけなので、最小の工数で診断できていると思います」(担当者談)
現に、急遽キャンペーンサイトの展開が決まり、短期間での開発と診断が必要になった際も、AeyeScanを活用することでわずか4〜5日で診断を終えることができた。
「以前は診断に半月ほどかかっていたため、キャンペーンのスケジュールを調整せざるを得なかったかもしれません。しかしAeyeScanを活用することで、リリースに間に合わせることができました」(担当者談)
外部に依頼した場合に比べてコストパフォーマンス良く診断できることに加え、社内のセキュリティ意識にも変化が生まれているという。
「AeyeScanで検出した脆弱性を基に、『こんな脆弱性が検出されたので、このように修正しようと考えています。他に懸念点はないでしょうか?』と、IT開発チームから相談を受ける機会が増えました。これは非常に良い傾向だと感じています」(担当者談)
IT開発チームからの相談に応じる際も、AeyeScanのWebインターフェイスを介して、どのようなリクエストとレスポンスがあったかを具体的に確認できるため、意思疎通がしやすくなったという。
「AeyeScanがコミュニケーションの補助ツール的な役割も果たすようになり、課題解決に向けた動きがスムーズに取れるようになりました」(担当者談)
さらに、クローリングによって画面遷移図を自動生成し、簡単に利用できる点や、日本語でのサポート体制も高く評価している。
「業種や形態を問わず、Webサービスを展開している企業には『刺さる』ツールだと思います」と評価している。
今後の展望
セキュリティチームでは今後、AeyeScanを用いたWebアプリケーションの脆弱性対策を引き続き支援していく。さらに、IT開発チームからの要望を受け、Web APIのセキュリティ診断などWebアプリケーションの堅牢化のために必要なさらなる追加施策も検討している。また、証明書管理やドメイン管理も含め、Webを取り巻くより広範なアタックサーフェイスの管理にも取り組んでいく方針だ。
