- 課題
- 数十種類に上るSaaSプロダクトに対する脆弱性診断を、コスト効率よく実施する方法を模索
- 導入
- 様々な役割のメンバーがスムーズに診断を行える使い勝手の良さを評価し、AeyeScanを採用
- 効果
- コスト効率を維持しながら、開発業務への影響を最小化して、脆弱性を確実に修正
背景と課題
ダイアモンドヘッドは「Create New Fitting」というビジョンを掲げ、EC/OMOプラットフォーム「F.ACE」を軸に、ECサイトの開発・運用支援を行っている。2024年には、ECシステムを開発してきたSCSKプレッシェンドと合併し、SCSKグループの一員として再スタートを切った。
同社が提供するSaaSサービスはECシステムを中心に、受注管理や在庫管理、コンテンツ管理といった周辺機能も含めると数十種類に上り、約100サイト規模の運用体制となっている。以前からセキュリティ要件の高いプロダクトを中心に、オープンソースのツールを用いた脆弱性診断を実施していたが、設定や運用に専門知識を要し、レポート品質の均一化が課題となっていた。
かといって、これだけの規模を外部の診断サービスに依頼するとコストが大幅に増加する。 さらに、「事前準備(問診票作成、実施タイミング調整等)に多くの時間を要する印象でした」(同社システムサービス部門 システムサービス2部 SaaSグループ 桝谷俊介氏)
一方で、内外部からのセキュリティ要請も高まっていた。日本クレジット協会の「クレジットカード・セキュリティガイドライン」が改定され、EC加盟店のシステムやWebサイトに対して脆弱性診断が求められるように。加えて、合併を機に社内規定でも年に一度の脆弱性診断が徹底されることになった。
そうした要請を満たし、コストパフォーマンス良く脆弱性診断を実施するため、同社は内製化できるツールを探し始めた。
ソリューションの選定
ダイアモンドヘッドが診断ツールの選定に当たって重視したのは、診断の品質もさることながら、使い勝手の良さだった。それも、セキュリティの専門家ではなくても、「様々な役割のメンバーが扱えるUI、UXを重視しました」と、同社システムサービス部門 担当役員補佐の中村一生氏は振り返った。
ダイアモンドヘッドでは、約150名弱のエンジニアがプロダクトごとに分かれ、開発・運用・ヘルプデスク・インフラ構築といった役割を担っている。脆弱性診断も当面は開発チームが担う計画だが、将来的には、運用チーム・ヘルプデスクチームが診断を実施する体制へ移行し、様々な役割のエンジニアがかかわることで、全体の品質を上げていきたいと考えていた。
「この先、各プロダクトがさらに成長していくと、開発チームだけでは手が足りなくなります。将来的には、組織全体が主体的に診断を担う体制とすることで適切な診断を実施し、開発チームにはものを作るという本来の業務に力を注いでもらえるのではないかと考えていました」(中村氏)
実際、2024年11月から検証を行ったAeyeScanの使い勝手は、同社の理想を十分に満たすものだった。マニュアルを作って一度診断を経験すれば、誰でもスムーズに使えるという感触が得られた。
「脆弱性診断ツールに触れたのは初めてでしたが、画面遷移図をはじめ、非常に見やすいという第一印象でした。レポート作成についても、もっと手作業が必要になると思っていましたが、ダウンロードしてすぐに確認できる点が非常に便利だと感じました」(桝谷氏)
また、AeyeScanが国内製品である点も採用の決め手の一つとなった。日本人向けのUI/UXであることはもちろん、FAQサイトも充実しているため、設定や操作でつまずいたり迷うことが出てきたときの安心感が、海外製品に比べて段違いだった。
加えて、スピード感を持って挑戦する同社にとって、セキュリティ領域で新たなサービスを立ち上げ、積極的に機能開発を進めていくエーアイセキュリティラボの文化にも好感を抱き、採用を決定した。
導入効果
ダイアモンドヘッドでは2025年からAeyeScanによる脆弱性診断を開始した。全社的に、扱う情報の性質などを踏まえながら順に診断を実施している。
「従来の運用ではチーム毎にレポート形式が統一されていませんでしたが、AeyeScanでは診断結果を一元管理できる上に、一律なフォーマットでレポートを出力できるため大変助かっています」と中村氏は述べる。
外部に依頼する場合に比べ、診断自体のコストはもちろん、事前の調整に要する工数が省け、自分たちの好きなタイミングで診断を実施できる点も評価している。
選定時に重視していた使い勝手についても期待通りだ。「PoCの段階で作成していたマニュアルを参照しながら進めていますが、基本的には問題なく、開発業務などを圧迫することなくスムーズにスキャンを実施できています」と、実際に診断業務に携わるシステムサービス部門 システムサービス2部 サービスグループ の千葉拓弥氏は語る。
使い始めの頃は新規ドメイン登録作業などで戸惑う場面もあったと言うが、サポートサイトを参照することで解決できた。「他にも、不明なところをサポート担当にメールで尋ねたことがありましたが、丁寧かつ迅速なサポートで解決できました」(桝谷氏)
指摘事項については、影響の大きいものから対応方針を決め、プロダクトチームが修正を行ったのちに再度スキャンを実施している。「これまでもセキュリティは十分考慮してきたつもりでしたが、それでも生じてしまう見落としがちなリスクもAeyeScanで検知でき、タイムリーに対応できるようになったと感じています」と桝谷氏は言う。大手の顧客からセキュリティチェックシートへの回答を求められた際にも、自信を持って回答できるようになった。
開発工程の中にセキュリティ診断を組み入れることで、開発者のセキュリティ意識が向上するという副次的な効果も得られた。「実際に診断を実施して結果を確認することで、それまで知らなかった脆弱性とその対応方法を知ることができています。セキュリティ意識はもちろん、脆弱性に関する知識も少しずつ深まっていると感じています」(千葉氏)
今後の展望
AeyeScanの導入と同時に、エーアイセキュリティラボによるWebセキュリティに関する講習を受け、「ECシステムの提供に当たって、どんなセキュリティ水準を満たすべきか」を再認識し、新たなスタートラインに立てたと感じている。
「SaaS製品であることから、この先、OWASPやIPAのガイドラインが改定された場合でも、細かなアップデート内容を意識せずとも、AeyeScanで診断を実施することで自ずと追随できる安心感もあります」(中村氏)
さらに、今後は、外部に公開するAPIを診断対象に含めていきたいと考えているほか、CI/CDプロセスにAeyeScanを組み入れる可能性も視野に入れている。
「時代の流れを考えても、従来の外部委託方式では、サービス提供スピードに対応しづらいでしょう。やはり脆弱性診断は、開発プロセスの中にシンプルにつなぎ込んでいくべきだと考えています」(中村氏)
何より、部門を超えて会社全体でセキュリティ品質を高めていく上で、AeyeScanの使いやすさは特筆すべきものと評価している。
「様々な役割のメンバーが脆弱性診断を行う場合でも、操作がわかりやすくサポートもしっかりしているAeyeScanはお勧めできると感じています」(桝谷氏)
