- 課題
- グループ全体で複数事業を展開する中、各事業会社の担当者が現場で手軽に診断を行える体制が必要になった
- 導入
- 運用のしやすさや検知の信憑性、専門家でなくても簡単に使えるかを重視し、AeyeScan導入を決定
- 効果
- 定期的な診断を行えるようになり、セキュリティリスクの可視化も実現。グループ全体のセキュリティ向上に繋がった
背景と課題
ハウスクリーニング事業『おそうじ本舗』や有料老人ホーム、保育園、子育て支援プラットフォーム『キッズコネクト』など、生活総合支援企業として様々なサービスを展開するHITOWAグループ。
事業が多岐にわたる中、各事業会社の運営するWebサイトの脆弱性診断はHITOWAホールディングスの情報システム部が窓口となり、外部ベンダーに都度依頼する形で対応していた。
そして、新規公開するWebサイトや重要な開発・改修があったWebサイトは、当然ながら脆弱性診断を行い、万全のセキュリティを担保してリリースを行ってはいたものの、脆弱性診断に伴うコストや工数などの観点から高頻度での診断には課題があった。
しかし、セキュリティ脅威は日々進化していくため、高頻度で脆弱性診断を行い、潜在的リスクに備えることが企業経営にとって不可欠との認識があったという。

「外部ベンダーに脆弱性診断を依頼する場合、一度の診断で100万円以上ものコストがかかってしまうことも珍しくありません。さらに診断ベンダーとの日程調整や様々な準備が必要であるため、診断を行いたいとなってから実際に実施するまでに1ヶ月近くかかってしまうこともあります。
しかし、セキュリティ脅威は刻々と進化していくため、過去に脆弱性診断を行ったWebサイトに対しても定期的に診断を行う必要がありましたが、コストや工数の観点から手軽に診断しづらいというのが、課題としてありました」(情報システム部 次長 田中氏)
そこで同社では、潜在的リスクを排除していくべく、各事業会社の担当者自身が現場で手軽に脆弱性診断を行えるような体制を目指すことになった。
ソリューションの選定
様々なセキュリティ検査ツールの比較検討を進めていく中で、実際に複数のツールをトライアル導入し、検証を行っていった。そうした比較検討において重視したポイントは、運用のしやすさと検知の信憑性であったという。
「各事業会社の担当者が運用できる体制を目指していたため、セキュリティアナリストやエンジニアでなくても、設定から実際の診断までを簡単に行えるかどうかがポイントとしてありました。また、トライアルで導入したツールの中には、使い勝手は良いものの、誤検知であるのか、過検知であるのかがわかりづらく、診断結果の信憑性が疑われるものもありました。
一方でAeyeScanは使い勝手はもちろん、診断の性能面で信憑性があることが大きな決め手でした。それに加え、私たちの場合は各事業会社のサイトが対象になるため、複数ドメインに対して追加コストがかからない料金体系も決め手の一つでした」(田中氏)
また、自動巡回で画面遷移図が生成される点も、AeyeScanが優れている点であったと井出氏は語る。
「AeyeScanは自動巡回でまず画面遷移図が生成され、診断前に画面の抜け漏れを確認したり、手動でスキャンしたい画面を追加できたりします。診断対象ページが可視化されることなく診断が始まってしまうツールもあったため、その点でもAeyeScanが優れていると判断しました」(情報システム部 部長 井出氏)

そしてAeyeScan導入に伴い、あらためて脆弱性診断のガイドラインを策定。各事業会社の担当者に対してはレクチャーを実施し、現場主導で運用できる体制へと移行していく。脆弱性診断を自分たちで実施するようになったことで、当然ながら現場の工数負荷が新たに発生してしまうものの、大きなハレーションはなく、スムーズな移行ができたという。
「以前からセキュリティレベルを高めていこうという動きは社内でもあり、グループ全体で脆弱性診断に関する重要性についてコミュニケーションを取る機会も多くありました。そのため、いまのままでは良くない、最新のセキュリティ脅威に対応していかなければならないといった使命感が現場にも醸成されていたことで、スムーズに現場での運用を開始することができました」(井出氏)
導入効果
AeyeScan導入によって脆弱性診断の回数は確実に増えており、仮に同数の診断を外部ベンダーに依頼していた場合と比較すると、相当なコスト削減のインパクトが生まれている。また、積極的に診断を行えるようになったことで、発見した脆弱性に対しての改修頻度も増え、セキュリティリスクの軽減に繋がっている。
「現在は定期的な診断をルール化し、現場主導で診断が行えるようになったことで、診断頻度は確実に増えています。
診断レポートに関しても、画面キャプチャ付きのレポートを生成できるなど、外部ベンダーに依頼していたときと遜色のないレポートで、大変満足しています」(田中氏)

セキュリティリスクは企業経営にも大きな影響をもたらす。同社では、各事業会社が運営するWebサイトのセキュリティ情報を可視化して共有することで、経営陣も自社のセキュリティ情報を適宜把握できるようになったという。
「AeyeScan導入を機にセキュリティガイドラインを新たに策定し、計画的に診断を行っていくフローへと変更しました。その結果、各事業会社のWebサイトのセキュリティ状況を一覧で可視化できるようになり、毎月最新の診断状況やセキュリティ状況を報告できるようになったことは大きな変化です。
セキュリティ被害は企業に大きな損失をもたらしかねない事案ですが、現在は経営陣も自社のサイトの状況を一目で把握できるため、安心感に繋がっています」(井出氏)
今後の展望
AeyeScan導入により定期的な脆弱性診断が可能になったHITOWAホールディングス。今後は定期診断を全事業会社に定着させ、グループ全体で徹底的に脆弱性を排除していく。
「毎年セキュリティ脅威は進化していき、さらにOSも変わっていく中、セキュリティリスクは経営リスクとして捉え、企業として対応していくことが求められます。
だからこそ定期的な脆弱性診断が重要であり、新規リリース時や重大な改修時に実施すればよいというものではありません。しかし、以前はすでにサービスインしているWebサイトの改修が気軽にできなかったり、どれだけのセキュリティリスクがあるかが把握しづらかったりすることもありました。
今後はより定期的に脆弱性診断を行い、確実にセキュリティリスクが排除できていることを説明できるようにし、経営者が常にセキュリティリスクを把握している状態を目指して進めていきたいと考えています」(井出氏)
また、脆弱性診断の文化定着のためには、いかに使い勝手が良く、信頼できるツールであるかどうかも重要であると最後に田中氏は語った。
「こうしたツール活用で重要なことは、使いやすさと性能になると考えています。仮に担当者が使いにくいと感じてしまったり、診断結果に信憑性がなかったりすると、そういったツールは使われなくなってしまい、診断文化が定着していかないからです。
AeyeScanは使いやすさはもちろん、性能も非常に良く、あらためて導入して良かったと感じています」(田中氏)