- 課題
- グループで管理している30超のWebドメインについて、セキュリティリスク診断の水準等にバラつきがあり、同時にコストや工数面でも課題があった
- 導入
- 充実したレポート機能やカスタマイズ性、また複数ドメインに対して追加コスト不要な料金体系からAeyeScan導入を決定
- 効果
- 統一的な水準・頻度で一定品質を備えた脆弱性診断を、コストや工数を抑えて実施することが可能になった
背景と課題
1982年に創業し、歯科医院等に対して電子カルテシステムや、訪問診療支援用クラウドシステムなどのソリューションを提供してきたメディアグループでは、2023年末以降メディアグループホールディングス株式会社がグループ全体のセキュリティ管理を担うこととなった。
そこで課題として上がったのが、全体の管理工数やコストを抑えつつ、30以上あるドメインに対して一定の品質が担保された脆弱性診断を実施し、情報セキュリティ管理水準を底上げできないかという点であった。以前は各部門単位でセキュリティ管理を行っていたため、診断の水準にバラつきがあり、実施頻度についても全社的なポリシーが明確になっていない等の問題があった。また特に一部のサイトでは外部ベンダーによる手動診断の必要があったため、多大な費用と工数を費やしていた。
品質を担保しつつ、コストを抑えるための解決策を模索していたという。
「いままでは脆弱性診断のツールがサイトごとに異なり、一部のサイトにおいては手動診断が必須でした。手動診断の場合は準備を含めると1〜2ヶ月かかることもあり、多大な工数・コストがかかっている状態でした。
特にグループ全体のWebサイトとなると、サイト数/ページ数も多く、外部発注するのは莫大なコストになるため、現実的ではありませんでした。そのため、どうにか自動診断ができないかと検討していました」(メディアグループホールディングス株式会社 コーポレートIT企画室 長島氏)
そこで同社では、グループ全体のサイトに対して自動診断が可能なツールを選定するという意思決定がなされた。
ソリューションの選定
脆弱性診断ツールの比較検討を進める中で、同社が重視していたことのひとつが、複数ドメインにおける料金体系であったという。脆弱性診断ツールはドメイン単位での契約というサービスも多く、30以上のドメインを対象とする同社では、限られた予算内でいかに脆弱性診断を実現するかがポイントであった。
「安価な診断ツールの場合はどうしても品質面での懸念がある一方、品質を求めるとその分コストに影響します。ドメイン単位での契約が求められるサービスも多い中、AeyeScanは診断項目がOWASPアプリケーションセキュリティ検証標準に準拠していることはもちろん、診断対象とするドメインの数に制限がないということが、導入の決め手になりました。
さらに、自動診断ツールではありながらも部分的に手動診断を行うことができたり、Cookieやカスタムヘッダーのチューニングが行えるなど、自由度の高さも魅力的でした。また、他社ツールと比較しても、AeyeScanの自動巡回は信頼できる精度だと感じましたし、画面遷移図が自動で生成されるため、どの画面が巡回対象であるのかもわかりやすく、非常に使い勝手の良いツールだと思いました。
加えて、トライアルおよび導入の際にAeyeScanの技術者の方に支援いただき、診断ツール導入に当たっての様々な課題を一緒に解決していただきました。そうしたサポート体制にも非常に満足しています。」(長島氏)
以前は診断結果に対して各担当者が社内向けの報告書を作成する必要があり、多くの時間を費やしていた。加えて、担当者ごとにレベル感が異なるため、報告の粒度にばらつきが生じるという課題も抱えていた。
そのため、そのまま上層部への報告資料にも使えるAeyeScanの充実したレポート機能も、導入の大きな決め手となったという。
「使用していたツールの1つですが、検知された脆弱性情報の一覧がCSV形式で出力されるのみで、非常に見づらく、そこから社内向けの報告書にまとめるのにも工数が発生していました。
しかし、AeyeScanのレポート機能は非常にわかりやすく、レポートのサマリーは上層部への説明にそのまま使える内容でした。さらに開発ベンダーに対してもそのまま渡せるクオリティのため、レポート作成の工数が削減できるというのは、AeyeScan導入の大きなメリットのひとつだと感じました」(メディアグループホールディングス株式会社 コーポレートIT企画室 室長 浜村氏)
こうしたセキュリティ製品の導入では、経営層からの理解を得ることに苦労するケースも珍しくない。しかし、サイバー攻撃など外部からの脅威が年々増加している昨今においては、最新のフレームワークに対応していくことが非常に重要である。
そのため、同社では従来の実施頻度よりも短いサイクルでの定期的な脆弱性診断を行える体制づくりの重要性を経営層に説明。経営層側もセキュリティ対策の必要性を認識しており、スムーズな導入が実現したという。
導入効果
AeyeScanの導入は、同社に単なる業務効率化を超えた、強固なセキュリティ基盤をもたらした。自動診断となったことで大幅な工数削減を達成。現在はドメイン登録後わずか1営業日ほどで診断が完了するように。30以上あるドメインに対して高品質の脆弱性診断が行えるようになりながらも、コーポレートIT企画室の工数を大幅に削減し、本質的な業務に集中できる環境を構築した。
「AeyeScanを導入したことで、すべてのサイトに対して同一の基準で脆弱性診断を行えるようになったので、グループ全体としてのセキュリティ水準が強化されました。これにより、外部ベンダーに開発や改修を発注する際の契約条項に “当社のセキュリティ基準をクリアすること” が明文化されたことは大きな成果でした。
また、AeyeScanは常に最新のセキュリティリスクに対応できるようアップデートされるので、万が一新たな脆弱性を検知した場合でも、迅速に対応できるようになりました」(長島氏)
AeyeScan導入によって追加コストをかけずに脆弱性診断を行えるため、各部署にとって診断依頼のハードルが下がったという。脆弱性診断が身近な存在になったことで、各部門担当者のセキュリティに対する意識が向上したことも、大きな導入成果のひとつだと浜村氏は語る。
「以前は一回の診断でも多大なコストが発生していました。しかし、AeyeScan導入で気軽に診断を行えるようになったことで、現場担当者の意識にも変化が起きています。
また、第三者基準での診断評価により、我々のサービスの安全性を客観的に示すことが容易にできるようになったことも成果のひとつだと感じています」(浜村氏)
今後の展望
グループ全体での脆弱性診断を行えるようになったものの、新たに見えてきた課題もある。社内外の体制面の整備を進め、現場を巻き込みながら運用体制を構築していきたいと長島氏は語る。
「脆弱性診断実施に当たってのアクセスログの肥大化への対応やSEO分析に与える影響の排除など、他部署・他組織の業務オペレーションへの考慮が必要となります。診断の自動化に伴い、これらをクリアした運用の再検討にも着手できる体制が整ってきました。」(長島氏)
最後に、浜村氏からもAeyeScan導入の感想を伺った。
「自動診断を行えるようになったことはもちろん、AeyeScanに満足しているポイントはやはりレポート機能です。上層部にそのまま渡せるサマリーがあったり、開発部門にもそのまま渡せる細かいレポートもあったりと、診断後にかかる工数が大幅に削減できたことは非常に助かっています。
こうしたセキュリティツールというのは、売上に直接貢献するものではありません。しかし、何かインシデントが発生してからでは遅く、企業としての経済的損失、信頼低下を未然に防ぐためにも必要なものです。そうした点でAeyeScanは求めている機能がすべて揃っており、さらにコスト面でも申し分なく、非常に良いサービスだと感じています」(浜村氏)
