- 課題
- ツールが専門的で運用負荷が高く、プロダクト部門とセキュリティ部門の間に距離が生じていた
- 導入
- 直感的に操作でき、問題箇所が視覚的に把握可能なAeyeScanを採用
- 効果
- AeyeScanを共通言語として部門間連携を強化し、継続的なセキュリティ品質向上を実現
背景と課題
Classi株式会社は、「子どもの無限の可能性を解き放ち、学びの形を進化させる」を理念に、ICTを活用した高等学校向け教育プラットフォーム「Classi」や、小中学校の保護者向け連絡サービス「tetoru」を提供している。クラウド経由で動画を含む教育コンテンツや問題を配信し、日々の学習記録を蓄積することで、生徒一人ひとりの学びを深め、心に火を灯す指導の実現を支えてきた。
これらのサービスでは、生徒や保護者、教職員の個人情報に加え、成績や生徒指導記録、体調などの機微な情報を取り扱う。同社コーポレート本部 サイバーセキュリティ推進部の岡嶋秀記氏は、「極めて機密性の高い個人情報を扱う企業として、セキュリティの確保は経営上の最重要課題の一つです」と語る。教育プラットフォームとして極めて機密性の高い情報を扱う社会的責任から、常に最新の脅威動向を注視し、先回りしたセキュリティ強化に取り組んできた。
その施策の一つが、サービスの脆弱性診断である。ツールを用いた自動診断と外部ベンダーによる診断サービスを併用し、不正アクセスにつながりかねない脆弱性を攻撃者に先んじて発見・修正する取り組みを続けてきた。
しかし、従来利用していたツールには課題もあった。
「以前利用していたツールは設定やチューニングが難しく、運用・メンテナンスに多大な工数がかかることが課題でした。また、ツールの診断結果やベンダーのレポートがプロダクトの改善にダイレクトに結び付くケースが少なく、投資に対する費用対効果に疑問を感じていました」(岡嶋氏)
さらに、ツールを使いこなすには専門性が求められたため、診断を担うセキュリティ部門と、開発を担うプロダクト部門との間にコミュニケーション上の隔たりが生じていた。診断結果が開発者にとって「自分ごと」になりにくい状況にも、もどかしさを感じていたという。
ソリューションの選定
岡嶋氏は、以前プロダクト部門に所属していた経験から、セキュリティ品質を高めることはそのままプロダクト価値の向上につながると考えていた。
そこで同様の課題意識を持つプロダクト部門の担当者と連携し、部門間のコミュニケーション促進の一助となる、新たな脆弱性診断ツールを探し始めた。
選定で重視したのは「わかりやすさ」だ。セキュリティの専門家でなくても扱えるUIであること、診断結果のレポートを見て内容を理解し、迷わず修正アクションにつなげられることがポイントだった。
「もともと設定や環境構築の難しさ、診断プロセスがブラックボックス化されがちであることが従来の課題でした。そこで、UIが直感的で操作しやすいか、診断計画の作成から結果の確認までスムーズかつ透明性が担保されているかを重視しました」(岡嶋氏)
オープンソースを含む複数の選択肢を検討したものの、工数やコスト、また運用の専門性の面で折り合いがつかないケースが続いた。そうした中、同僚から紹介されたのがAeyeScanだった。
「デモを見て実際に設定・スキャンを試したところ、UI上に診断対象の画面がマップ表示され、どこを診断し、どこに問題があるのかが視覚的に把握できました。これなら部門の壁を越えて活用できると感じました。従来ツールと比べて直感的で、診断の過程まで見える透明性が印象的でした」(岡嶋氏)
導入効果
Classiでは2025年2月より、セキュリティ部門とプロダクト部門が連携しながらAeyeScanを正式に導入した。岡嶋氏は「導入前後で、診断プロセスと部門間連携のあり方に劇的な変革をもたらしました」と評価する。
プロダクト部門においても、AeyeScanを通じて実際の画面と脆弱性の関係性を視覚的に確認できるようになったことで、開発段階からWebセキュリティに関する実践的な知見がより深まった。
こうして、診断結果を開発エンジニアと即座に共有し、迅速な修正・改善につなげるサイクルが確立された。
「専門家でなくても扱いやすいこともあり、AeyeScanの導入を一つのきっかけにして、部門間の隔たりが解消されました。共通のツールがあることで連携がスムーズになり、開発者のセキュリティ意識も確実に向上しています」(岡嶋氏)
さらに、AeyeScanの導入を機に、外部委託との役割分担を改めて整理し、状況に応じた最適なリソース配分を実現できたという。
「AeyeScanで定常的な診断を自動化・内製化したことで、外部ベンダーにはより高度で専門的な領域の診断に特化して依頼できるようになり、セキュリティ投資の最適化と大幅なコスト効率化を実現できました」(岡嶋氏)
AeyeScanの使い勝手の良さや導入障壁の低さに加え、エーアイセキュリティラボのサポート体制も効果を後押しした。診断スケジュールが実行されない事象が発生した際も、迅速なサポートにより原因を特定・改善。この件を踏まえた改善も早々に反映され、「専門家でなくても使いやすいAeyeScanのUXは、このようにユーザーの声に寄り添った改善を積み重ねているからこそだと実感しました」と岡嶋氏は述べる。
今後の展望
AeyeScanの導入は、Classiが目指す『リリーススピードとセキュリティ品質の両立』に向けた重要な一歩となった。今後も現状に満足することなく、より安全で迅速な開発体制の構築を目指して改善を継続していくという。
現在は「Classi」に加え、「tetoru」にもAeyeScanを適用し、安定した診断サイクルを回している。
「メンテナンスの手間を省きたいといった当初の狙いは、ほぼ実現できています。今後も人手のかかる工程をさらに削減し、特別に意識しなくてもセキュリティが担保される状態を目指したいと考えています」(岡嶋氏)
今回の取り組みを通して、セキュリティ部門とプロダクト部門が連携する診断内製化に踏み出すことができた。AeyeScanを共通言語に組織の壁を越えてコミュニケーションを図り、セキュリティ品質を高め続けるこのベストプラクティスを、今後はグループ会社の他のプロダクトへも展開していく予定だ。
