- 課題
- 脆弱性検査ツールを用いて自社で検査を行っていたが、多くの手動設定を要することから、準備に伴う工数の多さが課題であった
- 導入
- 複数のソリューションを比較した結果、AeyeScanは手作業の設定が少なく、検査項目も従来ツールと同水準であることが確認されたため、導入を決定した
- 効果
- 準備工数を大幅に削減できたことで、新たに確保した時間をセキュリティ強化の取り組みに充てることが可能となった
背景と課題
“HUMANOLOGY for the future – 人とテクノロジーで、その先をつくる。”を企業ビジョンに掲げ、システムインテグレーション、コンサルティング、およびシンクタンクの3つの機能を連携させることで、社会や企業課題の調査・提言からテクノロジーを活用した解決策の提供までを実現する株式会社電通総研。
同社は、2000年代初期よりセキュリティ専門チームを中心として、セキュリティ・バイ・デザインに基づく部門横断型のセキュリティレビューを実施しており、常にセキュアなシステム開発を追求してきた。その一環として脆弱性検査も社内で実施してきたが、ツールの使用においては、画面遷移に伴うパラメータやセッション情報の引き継ぎ、重複リクエストの除外などを手動で対応する必要があり、検査準備に多くの工数が発生していた。検査対象によっては、準備に1週間近くを要するケースもあり、検査件数の増加や複数プロジェクトの同時対応が求められる中、作業効率の向上が喫緊の課題となっていた。
「私たちの部門では、現場のプロジェクト担当者からの依頼を受けて脆弱性検査を実施しています。検査準備では、画面遷移に伴うパラメータやセッション情報の引き継ぎ、不要なリクエストの除去など、多くの作業を手動で行う必要があり、検査対象によっては1週間近くかかるケースもあるなど、大きな負担となっていました。検査件数の増加や同時進行する複数プロジェクトへの対応を見据え、作業効率の向上が喫緊の課題でした。」(電通総研 コーポレート本部 サイバーセキュリティ推進部 セキュアシステムデザイングループ エンジニア 小笠原将太氏)
ソリューションの選定
脆弱性検査における準備作業の自動化による工数削減を目的として、同社は検査ツールの選定を進め、その一環としてAeyeScanのトライアルを実施した。トライアルでは、従来ツールと比較して準備工程における工数がどの程度削減できるかを検証した。加えて、仮に工数が削減できたとしても、検査の品質が従来水準を下回っては本末転倒であることから、従来ツールと同等の検出精度を確保できるかどうかも重視し、比較検討を行った。
「複数のソリューションを試用した上で、検査準備に要する時間を計測した結果、AeyeScanは大半の設定を自動で行えるため、準備にかかる手間が少ない点が大きな魅力であると評価しました。
また、課題として挙げていたパラメータの引き継ぎについても、AeyeScanでは適切な値が自動で引き継がれることが確認され、従来必要だった手動設定の工数を大幅に削減できることが分かりました。
加えて、従来使用していたツールと同等の検査項目をカバーできるかどうかも、比較検討における重要なポイントでした。AeyeScanは従来の水準を維持していることが確認され、さらに、見逃されていた検査項目についても問い合わせを行った結果、検査項目のアップデートが迅速に実施されました。このようなサポート体制により、AeyeScanを安心して活用できるソリューションであると判断し、導入を決定しました。」(小笠原)
なお、セキュリティソリューションには海外製品が多くあるが、UIが日本語対応していないケースもある。このような状況の中、AeyeScanが国内製品である点は、導入を後押しする決め手の一つとなった。
「AeyeScanは国内製品であるため、レポートなどのアウトプットが日本語であることから、社内での説明や共有の際にそのまま活用でき、コミュニケーションコストを大幅に削減できる点も大きな利点として挙げられます。」(電通総研 コーポレート本部 サイバーセキュリティ推進部 セキュアシステムデザイングループ シニアコンサルタント 柴田俊介氏)
導入効果
AeyeScan導入後は、大きなトラブルも発生せず、順調にツールの移行を行うことができた。また、削減された工数を活用し、手動検査の強化や上流工程のセキュリティ対策にもリソースを確保することが可能となった。
「AeyeScan導入により、手間をかけずに検査ができるようになった点が大きなメリットとして挙げられます。従来は検査準備において、パラメータの引き継ぎなどの手作業に多くの工数を要しておりましたが、現在では検査準備の大部分をAeyeScanに任せることが可能となりました。
従来使用していたツールはクライアントアプリケーション型であったため、バージョン管理に関する煩雑さも課題となっておりました。一方、AeyeScanはSaaS型サービスであり、新規に追加または改善された検査項目が自動で反映されることで、常に最新の状態で高精度な検査を実施できます。また、AeyeScanは検査をシステムに合わせて重複する検査を省略してくれるため検査時間が従来のツールよりも短いことや、検査の終了予定時間が明確に示されることから、スケジュールの見通しが立てやすくなる点も、重要な利点のひとつです。」(小笠原氏)
「当部門では、システム開発フェーズにおいてセキュリティ設計レビューを実施しています。設計がセキュリティ要件を満たしているかどうかは、プロジェクト概要や非機能要件定義書、基本設計書に加え、セキュリティ専門チームが作成したチェックリストに基づいて、対策方針の妥当性を確認しています。AeyeScanの導入によりリソースを確保できたことで、セキュリティ設計レビューを一層強化して実施できる体制を整えることができました。」(柴田氏)
今後の展望
年々高まるサイバーリスクに対応するためには、新たな取り組みにリソースを割り当てることが不可欠である。そのため、脆弱性検査をはじめとする人手を要する作業をいかに削減するかが、重要な課題となってくる。
今後もさらなる運用効率化を図ることで、適切なリソース配分を実現し、セキュリティ品質のさらなる向上に取り組んでいく予定である。
「AeyeScanの導入により、限られたリソースの中でも日々の脆弱性検査を効率化できるようになりました。削減された工数は、手動検査の強化や今後増加が見込まれるプロジェクトへの対応準備に活用しています。今後も業務全体の最適化を図る中で、得られたリソースを活かしながら、セキュリティ品質の向上に継続的に取り組んでいきます。」(小笠原氏)
「業務効率化を図る上でパラメータ等の引き継ぎ設定が大きなボトルネックとなっていましたが、これが解消されたことで、検査準備の負担が大きく軽減されました。AeyeScanはサポート体制が整っており、国内企業にとって導入しやすい信頼性の高いソリューションだと感じています。今後は、こうした自動化の仕組みをより多くの領域に広げ、組織全体のセキュリティ向上につなげていく方針です。」(柴田氏)
