- 課題
- シングルページアプリケーション(SPA)に対応し、診断シナリオ作成の手間を極力省けるDASTツールを探していた
- 導入
- AIが自動でクローリングして診断対象を検出するAeyeScanのデモを確認し、理想的だと判断
- 効果
- DevSecOps環境の実現に貢献し、節約できたコストをより高度なセキュリティ対策に活用
背景と課題
メディアドゥは、国内2,200以上の出版社から電子書籍データを預かり、150以上の電子書店に展開する、国内最大手の電子書籍取次企業だ。もし不正アクセスを受けてコンテンツが流出し、海賊版が流通してしまえば事業そのものが脅かされる。そのため、同社は早くからセキュリティを重要課題として捉え、規程の策定やガバナンス体制の構築、監査といった対策に取り組んできた。
特に2022年からはセキュリティ専門のチームとして情報セキュリティ課を新設し、DevSecOpsの実現を推進している。同社IT統括部 情報セキュリティ課 課長の三森泰規氏は「さまざまなツールを組み合わせ、開発の中でセキュリティを推進する取り組みを進めています」と説明する。
具体的には、クラウド環境の設定やポリシーをチェックするCSPM(Cloud Security Posture Management)や、CNAPP(Cloud Native Application Protection Platform)で基盤のセキュリティを確保した上で、アプリケーションのソースコードを解析するSAST(静的コード解析)や、依存するライブラリ・コンポーネントを管理するSBOM(Software Bill of Materials)などを活用し、セキュアなエンジニアリング環境を構築してきた。
これらと並んで重要なのが、アプリケーションに対して動的にテストし、脆弱性を診断するDAST(動的アプリケーションセキュリティテスト)だ。
メディアドゥはこれまで年に一度、外部業者に脆弱性診断を依頼してきた。しかし三森氏は「予算との兼ね合いで、基幹部分や外部に露出している部分を優先しており、細かな機能までは手が回っていませんでした」と語る。
さらに、診断実施時期を固定していることも課題だった。ウォーターフォール的な開発からアジャイル方式へ移行しつつある開発体制にそぐわず、サービスのローンチに合わせたタイミングでの診断が難しかったのである。
ソリューションの選定
メディアドゥでは、コストパフォーマンスを考えると、外部の診断サービスだけでなく、DASTツールを導入して自分たちで診断を実施する方が合理的だと判断した。あわせて、そこで削減できるコストを、ペネトレーションテストなど、より高度な診断に充てることも視野に入れ、ソリューションの検討を進めた。
ただ、メディアドゥのシステムにはいくつか必須の要件があった。
一つはシングルページアプリケーション(SPA)に対応していることだ。従来のWebアプリケーションに対する診断は可能でも、SPAを対象に複雑な設定をせず診断できるツールはほとんど存在しなかった。
もう一つは、アプリケーションの構成を読み解き、診断シナリオを設定する手間を極力省けることだ。メディアドゥのアプリケーションは、2019年に提供を開始したシステムをベースに、ニーズに合わせて新たな機能を追加する形で構築されてきた。担当者も機能ごとに分かれていたため、三森氏は次のように語る。
「仕様書を読み解き、分からないところがあれば担当者にどのように診断をしていけばよいかをヒアリングした上で診断会社に依頼していました。これにはかなりの工数がかかっていたのです」(三森氏)
こうした条件を満たすツールを求めて情報収集を行う中、Security Daysという展示会でAeyeScanの存在を知ったという。
「AIが自動でクローリングして診断対象を検出する様子をデモで見て、まさに理想的だと感じました。見た瞬間に『使うなら、これぐらい便利なものでないと』と直感しました」(三森氏)
PoCを実施してみて、その直感は実感に変わった。
「手動はもちろん、それ以前に試した他のツールに比べても圧倒的に早く、わかりやすいレポートでどこをどう改修すればいいかも的確に示されていました。設定も容易で、『これで行きます』と決めました」(三森氏)
導入効果
メディアドゥでは迅速にAeyeScanを導入し、まず2つの開発チームで活用し始めた。
「AIを用いた脆弱性診断ツールは初めてでしたが、画面の機能を理解して適切に診断をかけるといった部分にAI活用はぴったりだと思いました」(三森氏)
実際に診断した画面がスクリーンショットの一覧で示され、網羅的に診断できていることを確認できる上、診断後のアクションが取りやすい点も評価している。
「以前は指摘事項があると、仕様書とコード、実際の画面を見比べる必要がありました。時には『この問題はどのように再現したのですか』と診断会社に確認する手間もかかっていました。それが今は、スクリーンショットで修正点をまとめて確認できるようになり、どこをどのように改修すべきかの把握が非常に早くなったと思います」(三森氏)
さらに、修正後の再診断も自分たちでコストを気にせず実施できるようになった。また、これまで手動で行っていたコーポレートサイトの診断も、AeyeScanで自動化できている。
「DevSecOpsの実現に向けてさまざまなツールに投資してきました。AeyeScanはその中で、完成したものをリリースする前の最後のチェッカーとして活用しています。これにより、IT企業にふさわしいシフトレフト環境が整ってきたと、開発者からも高く評価されています」(三森氏)
今後の展望
AeyeScanの導入により、以前は限られた人数と予算の中で実施していた脆弱性診断を、網羅的かつコストパフォーマンスよく実現できるようになった。
「これまで脆弱性診断にかけていた費用を、今後はペネトレーションテストなど、より高度な対策に投じていけると考えています」(三森氏)
現時点では情報セキュリティ課が中心になって診断を行っているが、今後は開発者にもAeyeScanの利用法を伝え、各チームがコーディングから診断、修正、デプロイまで自ら実施できる運用体制に移行する計画だ。日本語インターフェイスの使いやすさや、エーアイセキュリティラボによるハンズオン講習の支援もあり、専門家でなくても無理なく診断が実施できると考えている。
以前は、開発者は開発に専念し、セキュリティはインフラを担うSREチームに任せるもの——という雰囲気があった。しかし、CIOによるDevSecOps推進の姿勢もあり、エンジニアチームから「ぜひ触ってみたい」という声も出ている。
「DevSecOpsを推進する上で、各開発チームにセキュリティエンジニアを配置できる会社は少数派だと思います。そうした環境でも、AeyeScanのように簡単かつ自動で使えるDASTツールを展開できれば、DevSecOpsを支える大きな助けになると思います」(三森氏)
こうした経験を生かし、今後は開発体制を備えているグループ企業にも展開し、サプライチェーン全体でセキュリティベースラインを向上させていきたいという。
