BizDevSecOpsを通し、迅速かつ安全に、より良いサービスの提供を目指す

 
課題
業界を取り巻く法規制や市場環境に対応するために、週に数回の頻繁なリリースに追従できるようなセキュリティチェックの実現が求められていた。
 
導入
細かいカスタマイズや設定を行う必要のない「AeyeScan」を導入し、一定のセキュリティが担保された状況でのリリースを実現した。
 
効果
API経由でAeyeScanを連携して、セキュリティテストを自動的に回していくDevSecOpsを確立。さらにビジネス側の要望を反映させる仕組みへと進化中。

背景と課題

2016年の電力自由化以降、多くの新電力企業が電力小売り事業に参入してきた。東日本大震災の被災地でのボランティアをきっかけに2011年に創業し、エネルギーフリー社会の実現に取り組んでいるLooopもその一つである。電力自由化を機に従量課金制の電力小売サービス「Looopでんき」の提供を開始し、現在では首都圏を中心に37万契約を達成している。

「お客様の個人情報の漏洩などが起きてしまうと、お客様にご迷惑がかかることはもちろん、会社にとっても対応から信頼回復まで多くの時間と手間、コストがかかる重大な事態を招いてしまいます。立ち上げ期においてもセキュリティは重視しつつスピード感を重視したシステム構築を行っていましたが、昨今のセキュリティ事情を勘案し、現在はよりセキュリティを担保していこうという会社の方針があります」と、Looopの電力事業本部 GX推進部 ビジネスソリューション課 主任 大堀元氏は説明した。

Looop_Ph2電力事業本部 GX推進部 ビジネスソリューション課 主任大堀 元氏

電力会社のシステムは通常の企業システムに比べ非常に複雑で、かつ他社のシステムとも連携しながら実現されている。たとえばLooopでんきの申込みは代理店ごとに用意されたWebサイト経由で行われるが、切り替えにあたっては広域機関を介した確認作業が必要だ。また、利用開始後に請求を行う際には、送配電事業者の託送システムから得られる電力使用量の情報に基づいて料金を計算する必要もある。

「顧客管理、需給管理、請求管理といったサービスを下支えするシステムをスクラッチで開発してきましたが、社内の人間だけではスピードや品質を担保しつつ、セキュリティ面の強化を図るのが難しい状況になっていました」(大堀氏)

Looopがまず頼ったのが、外部のセキュリティベンダーによる脆弱性診断だった。セキュリティに留意しながら開発してきたとはいえ、専門家の手による網羅的な診断を受けることで、システム内には想定以上の脆弱性が見つかり、効果を感じた。「ただ、単発のテストでも数十万という金額がかかることから、毎月、毎日利用するには難しいところがありました」(大堀氏)

その上、電力業界を取り巻く法規制や市場環境はどんどん変化している。Looopではそれに応じて、申込みサイトやマイページの表示や機能を頻繁に改修してきた。さらに、仲介事業者専用の申込みサイトを提供するようになり、「サイトごとに改修を施す必要があるため、多いときには週に数回、改修してはリリースする、ということを繰り返してきました」(大堀氏)

こうした頻繁なリリースに追随できる形でセキュリティチェックも実現したいという理由から、Looopでは、脆弱性の自動診断ツールを導入し、自社で診断を実施することを検討し始めた。

ソリューションの選定

ツールの選択において重視したのは、検出できる脆弱性や対応項目数と価格のバランスが取れていることだった。いくら安価でも、きちんと脆弱性が見つけられないのでは意味がない。また、継続して適切なサポートが受けられるという意味から、オープンソースソフトウェアではなく商用のソフトウェアを優先した。

「診断項目の網羅性と価格、使用感がわれわれの求めているレベルに合っていると判断し、エーアイセキュリティラボのAeyeScanを選定しました」と、電力事業本部 GX推進部 ビジネスソリューション課の中山みずほ氏は振り返った。

20220613_0150電力事業本部 GX推進部 ビジネスソリューション課 中山 みずほ氏

導入にあたっては数週間のトライアルを実施したが、「ユーザーインターフェイスがわかりやすく、初めて触れる人でも簡単に操作できることが印象的でした。脆弱性対応に割ける社内リソースも限られているので、細かいカスタマイズや設定を行う必要のないターンキーソリューションであったことが弊社にマッチしていると感じました」と中山氏は述べた。URLを入力すれば、あとは自動的にテストが行われ、担当者としては手放しで運用できるため、効率化が期待できると判断した。

中山氏はさらに、「1日程度で診断結果が得られるため、診断を行ってから結果をまとめ、システムに反映させていくサイクルを短期間で回すことができます。スピードを求められるような場合でも、一定のセキュリティが担保された状況でシステムのリリースができています」と述べた。出力されるレポートの内容が具体的で、どのように修正すべきかという解決策も提示されているため、開発担当者に手渡せばすぐに問題が理解でき、修正に取りかかれる点も好印象だった。

トライアルを終え、実際にAeyeScanを導入した後もその印象は変わらない。コストパフォーマンスの面でも効果を感じている。「1日で診断でき、診断回数の上限もないため、新たな機能を実装する度に診断し、また脆弱性の修正を適用して診断して……という具合にAeyeScanをうまく活用できています」(中山氏)

さらに、診断を重ねる中で同じような指摘が繰り返し発生する場合には、「次からは少なくともこの部分はアラートが出ないよう、最初の設計に組み込んでいこう」といった意識が関係者の中で芽生え始めているという。

導入効果

LooopはDevOpsの中にセキュリティを取り込んだDevSecOps、さらにビジネスと連携したBizDevSecOpsに取り組んでいるが、その中でもAeyeScanが大きな役割を果たし始めている。

Looopにとってもデジタル化は重要な課題であり、いかにスピーディに開発を進めるかに取り組んできた。「以前は手作業でデプロイを行ってきました。しかし、スピードだけではなく正確性やスケーリングを重視し、改修しやすい基盤に載せ替えるため、顧客管理システムや申込みサイトをリプレイスするタイミングで、DevOpsを導入することにしました」(大堀氏)

フロントエンドのシステムではCircle CIを導入し、CI/CDによる継続的な開発とテスト、デプロイのサイクルを回していく形だ。ここにAPI経由でAeyeScanを連携させることで、セキュリティテストをパイプラインに組み込み、自動的に回していくDevSecOpsの仕組みを作り始めている。「デプロイのたびに毎回、とまではいきませんが、週に一回はセキュリティテストを回すことで、手作業に頼らず安全にデプロイができるようになりました」(大堀氏)

この結果、ビジネス側との距離が近くなるという効果も生まれている。

「以前は、ビジネス側から何か要望があってもシステム側の都合で『できません』と断ることもありました。しかし、安定してリリースができ、セキュリティも担保できる環境が整ってくると、開発側も『売り上げの向上につながる、より良いサービスを届けるにはどうすべきか』といった事柄を考え、ビジネスに寄り添いながら開発するようになっており、ビジネス側も、やりたいことをどんどん言えるようになっています」(大堀氏)
より良いサービスの実現に向けてワンチームとして取り組み始めている。

ビジネス側からの要望を踏まえ、より良いサービスを開発し、かつ脆弱性を排除しセキュリティを担保しながら運用していく——というとごく当たり前のことに聞こえるが、その当たり前を実現するのは非常に難しい。だがLooopでは 、ビジネスを元にシステムを開発し、そのセキュリティを担保し、運用していくという4つの流れを循環させるBizDevSecOpsを通して、ビジネス側の要望を反映させたシステムを開発し、セキュアな状態で運用することを目指し始めている。

「新機能を追加することによって出てくる不具合や脆弱性を正しく排除しながら安全にデプロイし、お客様に届けていくことが重要だと思っています。実現までにはもう少し時間はかかると思いますが、そのための基盤がようやくできはじめており、その中の一つがAeyeScanだと思っています」(大堀氏)

今後の展開

Looopでは引き続き、BizDevSecOpsの実現に向けた取り組みを進めていく。たとえ小さな改修であってもリリース前に診断を行い、脆弱性が紛れ込んだ場合にはしっかり把握してメールやSlackを通して開発者と共有し、排除していくプロセスをCI/CDに組み込んでいくとともに、定期的に全システムの診断も実施していく方針だ。

「われわれのシステムが変わっていなくても、新たな脆弱性が発覚してリスクにさらされることは十分に考えられます。定期診断をしっかり実施し、セキュアな状態で維持していきたいと思います」(大堀氏)

合わせて、電力事業本部だけでなく、情報システムの運用を担っている部門とも連携し、他の社内システムに対しても適用していければと考えている。単に脆弱性を見つけるだけでなく、「セキュリティ向上に向けた活動をしているという姿勢を全社に啓蒙していくことで、社員一人一人がセキュリティを意識する組織としていきたい」と大堀氏は述べた。

さらに、グループ会社への連携も視野に入れて、今後も「グループ全体でセキュリティを高め、安全・安心なシステムを提供し続け、Looopのブランドを向上させていければと考えています」(大堀氏)

Looop_800px2

株式会社Looop

電力事業本部 GX推進部 ビジネスソリューション課

主任 大堀 元氏

新機能の追加によって生じる不具合や脆弱性を正しく排除しながら安全にデプロイし 、お客様に届けていくための基盤がようやくできはじめており、その一つがAeyeScanだと思っています