- 課題
- アプリケーション開発のセキュリティ強化を開発者が日常的に意識し、対応できる環境が整っておらず、散発的な対応となっていた。
- 導入
- 開発者にわかりやすいレポートが提供され、OWASP Top 10をはじめとする業界標準に沿ってリスクが示されることを評価し、AeyeScanを採用。
- 効果
- リスクを定性的かつ定量的に把握し、共通の土台を作ることで、セキュリティエンジニアと開発者のよりよいコラボレーションを加速。
背景と課題
アバントグループは、連結会計ソフトウエア開発をはじめとして、決算業務アウトソーシング、グループ経営支援、DX・データ活用支援など幅広く事業を展開し、さまざまなサービスの提供を通じてお客様の経営のDXを総合的に支援している。
「市場環境が変化し経営者の責任範囲も拡大する中、求められる情報の質と量は過去とは圧倒的に異なっています。我々は、ノウハウを形にしたソフトウェアのパワーでお客様をご支援し、企業価値を高めるお手伝いをしています」(株式会社アバントグループ マテリアリティ実現室 ディレクター 兼 株式会社ディーバ プロダクト開発本部、三宅良和氏)
27年にわたる歴史の中でIT環境は大きく変化し、アバントグループの中核会社であるディーバ自身もクライアント・サーバ型のパッケージソフトウェアから、クラウドを前提にしたサブスクリプションモデルへとビジネスのあり方をシフトしている。一連の変化に伴って浮上した課題の1つが、セキュリティだった。
「お客様に製品ではなく利用価値を届ける形にシフトし、責任分界点が変わっていくにつれ、社内のセキュリティ体制に危機感を覚えるようになりました。そこでクラウド展開を準備するタイミングでグループクラウドセキュリティ推進室を手探りで立ち上げ、仲間を集めながら整備に取り組んでいます」(三宅氏)
そんな仲間の一人としてディーバに加わった山本裕介氏(株式会社アバントグループ グループクラウドセキュリティ推進室 シニアマネージャー 兼 株式会社ディーバ プロダクト開発本部 プロダクト開発統括部 SRE部長(当時))によると、アバントグループは、他のソフトウェア会社とも共通する悩みに直面していた。
「検討を始めた当初は、まずお客様のニーズに応え、リリースしていくことが第一となりがちで、非機能要件であるセキュリティ対策は相対的に優先度が低くなる傾向がありました」(山本氏)
今は社内でセキュリティを率いる立場にある宮部大志氏(株式会社ディーバ プロダクト開発本部 セキュリティガバナンス部)も、入社当初はアプリケーションエンジニアとして製品開発に携わっていた。「以前は、開発チーム内ではセキュリティ要件よりも機能要件に関するものが優先的に議論される傾向がありました」と同氏は振り返る。
しかし今や、顧客情報の漏洩でも発生すれば、事業そのものに大きなインパクトが及ぶ時代だ。エンジニアチームでも徐々にセキュリティを担保したプロダクト開発の気運が高まってきたが、問題は具体的な手段とそれを担う人材だった。「チーム体制を見直していく必要がありました」(宮部氏)
ソリューションの選定
将来的にグループ全体への適用も視野に入れて、子会社のディーバで先行検証(PoC)を進めることにしてソリューションの検討を開始した。当初検討したのが、オープンソースソフトウェアとして無償で公開されている「OWASP ZAP」だ。しかし「出力されたレポートを見ると、セキュリティエンジニアにはわかっても、開発者がすぐに理解しやすい状態かというと疑問が残りました」(宮部氏)
そこで、開発者にも問題や対処方針がきちんと伝わるレポートが出力されることを条件に他のツールを探し始めた。「この先、セキュリティエンジニアだけでなく開発者もセキュリティを理解し、修正していく文化を根付かせるには、開発者が出力されたレポートを理解できることが重要であり、それが製品の品質の底上げにつながると考えていました」(山本氏)
他に、結果がベンダー独自の解釈に頼るのではなく、OWASP Top 10をはじめとする標準的な指標とひも付けされ、網羅的に確認できること、オンプレミス環境ではなくSaaS形式で利用できること、検査を実施するチームだけでなく結果を参照する関係者らの権限管理が適切に行えることなど、脆弱性検査という基本機能以外の要件も加味して検討した結果、AeyeScanが浮上した。
もう一つ見落とせないポイントはコストだ。サイト数に基づく課金体系では、グループ企業が展開するサイト・サービスに対象を拡大していくと価格が跳ね上がってしまい、導入しにくい。
「AeyeScanは、どれだけスキャンを回しても年間定額で利用できるため、コストパフォーマンスに優れると判断しました」(山本氏)
導入効果
導入検討に際して、まずはディーバにてPoCを実施した。「過検知・誤検知も含めて自力でひもといていく必要のあるOWASP ZAPに比べ、AeyeScanのレポートは非常に読みやすいと感じました」(宮部氏)
単に検出された脆弱性を羅列するのではなく、CVSSをはじめとする一般的な評価基準に基づいてリスクが示され、「どのパラメータで脆弱性が検出されたか」「どんなレスポンスが返ってきたため脆弱性と判断したのか」といったエビデンスが、スクリーンショットとともにレポートされるため、追跡や検証が容易なことも評価につながった。「非常に理解しやすく、見やすいという印象を持ちました」(宮部氏)
さらにレポートの末尾には、OWASP Top 10など各種標準との対応表が付加されている。「これも今後、セキュリティ部門として、各種標準に基づいて評価していく上で有効に活用できるのではないかと考えました」(宮部氏)
設定が容易に行えることも印象に残った。英文のサイトを検索し、「果たしてこれで正しいのだろうか」と試行錯誤しながら設定していたOWASP ZAPとは異なり、AeyeScanにはわかりやすいユーザーインターフェイスが用意されている。
「将来的に、セキュリティガバナンス部だけでなく開発チームがスキャンを回していく場面も増えていくと考えています。そんなときに、品質高く、標準化して回していきやすいと感じました」(宮部氏)
ディーバのPoCの結果を受けて、アバントグループではAeyeScanを採用することに決定し、2023年春から導入していった。SaaS形式の利点が生き、導入は非常にスムーズに進んだ。
ディーバが提供する製品については、サーバやクライアントアプリケーションに改修を加えたタイミングでセキュリティガバナンス部がAeyeScanで診断を実施し、結果を開発者に共有している。さらに、アバントグループが外部に公開しているWebサイトやサービスに対しても、三ヶ月に一回の頻度で定期的に診断を回し始めている。
実のところ、AeyeScanの導入後、クリティカルに分類される深刻な脆弱性は発見されていない。安全に開発できていることが再確認できた形だ。そして当初の狙い通り、開発者にもわかりやすいレポートが得られている。「グループ会社それぞれに所属する開発者にAeyeScanのレポートを見せると、やはり、わかりやすいとレスポンスがありました」(山本氏)
「技術者はもちろん、その上長や関係者にも共有しやすくなると期待しています。ただ危ないと言うのではなく、どこがどう危ないのかが具体的になるためアクションにつなげやすくなる効果も一部出ており、これをグループ全体に浸透していきたいと考えています」(三宅氏)
最近ではAeyeScanのレポートが、セキュリティエンジニアと開発者の共通の土台になりつつある。個人の知識に基づいてバラバラに会話をするのではなく、共通の認識を元に「リスクをどう判断し、どう対処していくか」「どの問題を優先すべきか」といった計画を立てられるようになり、組織としてプラスになっている。
「セキュリティはホラーストーリーで始まり、声の大きい人の意見に流されがちです。しかし、AeyeScanというツールを通すことによって、個々人の感覚ではなく、定量的かつ定性的にリスクをとらえることが可能になりつつあります」(山本氏)
ディーバではまた、宮部氏が主体となって、クロスサイトスクリプティングをはじめとする基本的な脆弱性に関するハンズオンデモを実施し、脅威について認識してもらう取り組みも展開している。開発者側も積極的に参加し、セキュリティガバナンス部に気軽に話しかけ、しっかりしたコミュニケーションが取れるようになった。
「セキュリティに関して、セキュリティエンジニアと開発者がよりよいコラボレーションができるようになりました。AeyeScanの導入はそれを加速している一因になっています」(山本氏)
今後の展開
顧客のセキュリティ要求水準は高まるばかりだ。「クラウドサービスはお客様の情報をお預かりする形になります。お客様が外部のサービスに情報を保管することに対して弊社が安全性を担保できないと安心してご利用いただくことができません。万一でも漏洩などの事象が発生すれば、お客様の事業にも影響を与える事態になりかねません」(山本氏)
アバントグループはそんな緊張感を持ちながら、グループクラウドセキュリティ推進室、各社のセキュリティ部門と開発者が一体となって、引き続きセキュリティ向上に取り組んでいく。たとえば、現在は三ヶ月に一回という頻度で実施しているグループ各社のサイト診断の頻度を高め、一ヶ月に一回、さらには一週間に一回といった具合に、よりリアルタイムに近づけていきたいと考えている。
また、開発時の規定やプロセスの整備、教育などを通したセキュリティ文化の浸透も引き続き推進し、DevSecOpsの確立に努めていく。「ある程度の段階まで来たら、開発者が自分たちでスキャンを実施し、自分たちで脆弱性を見つけて対処し、セキュリティ部門にはそのエビデンスを上げるだけという状態にしていければと考えています」(山本氏)
グループクラウドセキュリティ推進室も、開発者を突き放すのではなく、理解を促し、寄り添う姿勢で伴走していく。その際の共通言語としてAeyeScanを今後も活用し、「これまで以上に安全な状態で製品をお客様に出荷できるようになると思います」(山本氏)