- 課題
- 異なる事業にまたがる多数のWebサイトに対し、均質な診断をコスト効率よく行うことが難しい
- 導入
- サブスクリプション形式で、使い勝手や診断品質にも優れたAeyeScanを採用
- 効果
- 診断にまつわるコストパフォーマンスが大幅に改善され、改修までのスピードも向上
背景と課題
ベルーナは、衣料品の通販事業をはじめ、化粧品・健康食品の販売やホテル運営など、多様な事業を展開してきた。
そんな同社にとって、ECサイトを含むWebサイトの数々は、顧客との重要な接点だ。同社情報システム本部 IT設計室の鈴木光義氏は、「ユーザビリティを確保し、使い勝手を損なわないよう意識しながら、PCIDSSへの準拠や3Dセキュアの導入といった、さまざまなセキュリティ対策を実施してきました」と語る。
ただ、事業の拡大・多角化に伴って増えてきたWebサイトを見渡すと、対策に力を入れている箇所もあれば改善が望まれる箇所もあり、同一レベルのセキュリティが保てているとは言いがたい状況だった。年に一度、Webサイトの脆弱性診断とプラットフォーム診断を実施するルールを定めていたものの、全体で一定水準以上の品質を保つ必要があると考えていた。
加えて、診断に関するコストも課題だった。数十に上るWebサイトの診断を外部の企業に依頼していると、サイト数に比例してコストが増大し、大きな負担となる。しかも、第三者視点を生かすため、毎回異なる事業者に依頼していたことから、調整に要する手間も決して小さくなかった。その結果、重要な部分にフォーカスして深く診断し、それ以外の部分は診断範囲を限定せざるを得ないこともあった。
こうした状況を受けてベルーナでは、ツールを用いて診断を内製化する方が、コストパフォーマンスとセキュリティの両面で有効ではないかと感じるようになっていったという。
ソリューションの選定
内製化の検討を進める中で、ベルーナは展示会などに足を運び、脆弱性診断ツールに関する情報収集を進めていった。そんな中で巡り会ったのがAeyeScanだ。さまざまな診断ツールの中でも使い勝手が良さそうだという点に、まず好印象を抱いたという。
具体的に比較検討を進め、トライアルを実施する中で、その思いはさらに強まった。
「同じようにAIを活用して脆弱性診断を実施する他のツールについても、実際に画面を見ながら試してみましたが、設定すべき箇所が多いという印象でした。これに対しAeyeScanは、シナリオ作成から診断の実施、レポート出力までを簡単に行えましたし、Webサイトの画面遷移図で、診断中の箇所やそれぞれのスキャン結果がわかりやすく示される点も使いやすいと感じました」(同社 情報システム本部 IT設計室 大西史敏氏)
トライアルは順調に進み、使い方に迷った際にも迅速なサポートが得られたことで、次のステップへと進むことができたという。
検証を通して、診断品質も十分なレベルに達していると判断した。
「過去にベストエフォート型の診断サービスを受けた際の結果と、AeyeScanによるスキャン結果を比較してみたところ、深刻な脆弱性については同程度の結果が得られました。また、軽微な指摘事項に関してはAeyeScanの方がより多く検出されており、AIの有効性を実感しました」(大西氏)
さらに、サブスクリプション形式で、追加のオプション料金をかけることなく複数のWebサイトを診断できる点も評価された。診断対象が多数に上るベルーナにとって、コストパフォーマンスの面でも優れていると判断し、導入を決定した。
導入効果
ベルーナでは現在、IT設計室がAeyeScanを活用し、Webサイトに対する年1回の定期的な診断を網羅的に実施している。加えて、必要に応じてスポット診断も行う運用を確立した。
「事業によって異なりますが、各サイトには毎月何かしらの改修が加わっています。中には、3Dセキュアの導入やプラットフォームの移行といった大規模な変更が行われることもあります。そうした場合には、要望に応じて単発で診断を実施しています」(鈴木氏)。
以前に比べてコストや調整の手間がかからなくなったことで、「ちょっと見てもらえませんか」と気軽に依頼できる雰囲気が生まれたという。
診断後は、Webサイトの開発を担当するベンダーに、AeyeScanが生成したレポートを共有し、改修を依頼している。問題の箇所がピンポイントで示され、修正の方向性も明確なため、「これはどういう意味なのか」といった確認のやり取りを行う必要がなく、迅速に改修へとつなげられている。また、AeyeScanが生成する画面遷移図を活用することで、リンク切れなどの問題を特定できるといった副次的な効果も得られた。
「以前は、外部ベンダーに診断を依頼した後、再診断のタイミングや進め方など、細かな段取りを都度決める必要がありました。いまは、必要なタイミングに自分たちで診断を実施でき、報告書も自動で出力されます。そのままベンダーに渡して修正を依頼するだけで済み、再診断まで自分たちでできるようになりました。そういった意味で、スピードは大きく向上しました」(鈴木氏)
そして、コストや工数を気にしながら診断を依頼していた以前に比べ、AeyeScan導入後は診断回数を増やしながら、半分以下のコストで診断を実施できるようになったという。
「単純比較は難しいものの、コストパフォーマンスは非常に向上しました」(鈴木氏)
ベルーナは、ポートフォリオ経営という戦略のもと、衣料品や雑貨の通信販売に加え、ホテル運営、さらには通販の受託に至るまでさまざまな事業を展開している。
「事業単位でECサイトを運営し、セキュリティ対策を個別に実施していくとなると、費用も時間も工数もかさみます」(鈴木氏)
AeyeScanを活用することで、すべての事業に対して横断的に診断を実施でき、セキュリティレベルを標準化しながら、費用・時間・工数の最適化が可能になった。特に受託事業においては、顧客からセキュリティ対策状況を問われた際にも、迅速に回答できる体制が整った点を高く評価している。
今後の展望
AeyeScanを活用した定期診断を継続することで、Webサイトの脆弱性対策を着実に進め、どの事業においても顧客が安心して利用できるサイトを提供していく方針だ。この取り組みは、ベルーナ社内のAI活用コンテストへのエントリーも検討している。
当面はIT設計室が診断を担うが、将来的にはアプリケーション開発を担当するIT企画室が自ら診断を実施できるよう、AeyeScanのマニュアル整備を進め、業務を引き継いでいくことも視野に入れている。開発の責任者がベンダーと直接やり取りできる体制が整えば、リリースサイクルがいっそう高速化すると期待している。
一方、IT設計室では、Webサイトにとどまらず、プラットフォームも含めた脆弱性管理の実現を見据えている。AeyeScanが、そうした領域までを包括的に支援するツールへと進化していくことにも期待を寄せている。
「日本製のツールであるがゆえに、機能拡充に向けた私たちの意見も反映してもらいやすいのではないかと期待しています」(鈴木氏)
