NTTのセキュリティ基準を満たしながら、アジャイル方式のスピード感のあるサービス開発が可能に | NTT東日本

NTT東日本様 AeyeScan 導入事例
課題
以前までは外部に脆弱性診断を依頼する必要があり、理想とするスピード感でのアップデートや機能リリースができなかった
導入
チーム内で脆弱性診断に取り組むことができ、さらにグループとして満たすべきセキュリティ項目をしっかりと検査できることからAeyeScan導入を決定
効果
頻繁に脆弱性診断を行える体制が構築できたことで、アップデート頻度は大幅に向上。さらに診断コストの削減にも繋がっている

背景と課題

東日本電信電話株式会社(以下、NTT東日本)においてサービスの企画開発を担うビジネス開発本部CXビジネス部では、様々なSaaS型のサービスを展開。そのうちのひとつが、法人向けのeラーニングサービス『ひかりクラウド スマートスタディ』だ。

従来まで『ひかりクラウド スマートスタディ』は、外部パートナー企業が開発を担当し、脆弱性診断に関してもNTT東日本グループ内のセキュリティ専門チームに依頼する状況であり、ウォーターフォール型で万全の計画を立てて開発を進行していく必要があった。

そのため、開発途中で優先度を組み替えたり、また一部機能だけを先行リリースするなど、柔軟性のあるサービス開発ができないことが課題としてあったという。

そこで『ひかりクラウド スマートスタディ』チームではアジャイル型での開発体制を組むべく、サービス開発の内製化へとシフトする。しかし、開発自体はアジャイル型で柔軟性を持って進められるようになった一方、脆弱性診断は引き続きグループ内のセキュリティ専門チームに依頼しなければならない。

その結果、希望するスケジュール感で検査ができず、ローンチまでのリードタイムがかかってしまうことが課題として残っていたという。

NTT東日本 ビジネス開発本部CXビジネス部 小林氏

「開発チーム側でリリース日を決めたとしても、仕様バグが見つかり、脆弱性診断を2週間遅らせたいといったことがあったりします。しかし、セキュリティ専門チームに依頼する場合はいつまでに検査予約をしないといけないかが決まっており、途中でスケジュール変更をしようとすると、予約が埋まっていて検査が2ヶ月後になる、ということもありました。

開発が2週間遅延したから脆弱性診断を2週間後ろ倒しにするということができず、結果としてリリースが遅れてしまうことが大きな課題としてありました」(NTT東日本 ビジネス開発本部CXビジネス部 小林氏)

また、同じグループ内ではあるものの、サービスの収支という観点からは、やはりセキュリティ専門チームに検査を依頼する場合のコストも無視できない。特にアジャイル型で進めていき、メジャーアップデートの頻度を増やしていこうと考えると、脆弱性診断に伴うコストも増えていってしまう。

そこで、セキュリティ検査ツールを導入し、チーム内で脆弱性診断を行える体制を構築すると判断したことが、AeyeScan導入の背景だった。

ソリューションの選定

当然ながら、同社ではAeyeScan以外にも様々なセキュリティ検査ツールの比較検討を進めていく。その中で、重要な検討ポイントとしてあったのが検査項目であった。

「NTTのセキュリティ研究者らが作成した検査項目があり、どのサービスもこの検査項目を満たすことが絶対条件となっています。そこで、トライアルで各ツールを用いて検査をしてみましたが、ツールによって私たちの検査項目すべてをチェックできないものもありました。

そうした中、AeyeScanであれば私たちの検査項目を満たせるということが、AeyeScan導入の決め手のひとつでした」(NTT東日本 ビジネス開発本部CXビジネス部 中川氏)

なお、以前まで検査を依頼していた社内グループのセキュリティ専門チームにおいてもAeyeScanをすでに活用していたため、実際の導入時はセキュリティ専門チームとも協力し合いながら、スムーズに導入を進めていくことができたという。

NTT東日本 ビジネス開発本部CXビジネス部 中川氏

「AeyeScanを実際に触ってみて思ったのは、誰でも簡単に脆弱性診断を行うことができるということです。専門的な知識がなくとも設定から検査、レポーティングまでできるため、学習面でのコストがかからないことがメリットだと感じました。

また、AeyeScanの担当者が定期的に相談会のような場を組んでくださるため、何か不明点があった場合も相談しやすく、そうしたサポート体制もAeyeScanの良さだと感じています」(中川氏)

最終的に『ひかりクラウド スマートスタディ』チームでは、AeyeScanを用いて自分たちで日々検査を行いつつ、年1回セキュリティ専門チームによる検査を行う形で、万全のセキュリティ対策を理想とするスピード感で実現できる体制を構築していった。

導入効果

いかにアジャイル開発を進めながら、理想とするスケジュール感で脆弱性診断を行うかが課題としてあったが、AeyeScan導入によって頻繁に検査を行える体制を構築することができ、セキュリティリスクの軽減はもちろん、アップデート頻度向上にも繋がっているという。

「現在は金曜日にAeyeScanで検査を行い、週明けの月曜日にはレポートが出ているという状況をつくることができました。

そのため、以前まではメジャーアップデートの頻度は年に1回程度でしたが、現在は自分たちでセキュリティ検査を行えるようになったことで、年に複数回アップデートできるようになるなど、アジリティが高まっています」(小林氏)

仮に年に複数回のアップデートのたびに、社内グループのセキュリティ専門チームに検査を依頼した場合は、数百万円ものコストがかかってしまう。しかし、AeyeScanの場合は検査回数に関係なく、発生するのは年間の利用料のみのため、大幅なコスト削減にも繋がっている。

そして『ひかりクラウド スマートスタディ』チームでのセキュリティ検査の事例が社内でも注目されるようになり、自チームでセキュリティ検査を行い、スピード感のあるサービス開発を行っていこうという機運が徐々に高まっているそうだ。

また、画面遷移図で巡回対象のページが表示されるなど、視覚的なわかりやすさもAeyeScanの魅力であると小林氏は語る。

「私たちのチームではアジャイル開発を進めていくにあたり、UIデザイナーをマストでチームに採用したいと考えていました。なぜなら、グラフィックファーストでサービス開発を進めていくことで、開発の矛盾点や目指すべき方向性が見えてきたりするからです。

そうした中、AeyeScanはセキュリティ状況が視覚的に理解できるツール。これまでセキュリティ研修を受けたものの、十分にセキュリティに関して理解できていないメンバーもいたりしましたが、AeyeScanによって視覚的に理解できるようになり、私自身含めてチーム内のセキュリティへの理解が深まっていると感じています」(小林氏)

今後の展望

現在小林氏は、『ひかりクラウド スマートスタディ』以外のプロジェクトも担当。AeyeScan活用はもちろん、アジャイル型開発を進めてきた中で得られた知見やノウハウを各サービスにも横展開していきたいと語る。

「『ひかりクラウド スマートスタディ』では一般的なSaaS型サービスと同様、オンライン上でサインアップができるのですが、実は他のサービスではいまだにエクセルの申込書を担当者がお持ちして記入してもらうといったフローが残っているサービスもあります。

そこで今回のサービス開発で学んだことをフレームワーク化して、共通基盤として各サービスと接続できるようにしたいと考えています。

そして複数のサービス開発が同時に行われていっても、AeyeScanを用いれば脆弱性診断に伴う追加の稼働が極端に増えるということを避けることができますし、コスト的にも大きなメリットがあるため、今後はAeyeScanを用いた成功事例を社内に横展開していきたいと考えています」(小林氏)

最後に、あらためてAeyeScan活用の感想を小林氏、中川氏に語っていただいた。

「AeyeScanの診断レポートも非常に充実した内容となっており、そのまま開発チームに渡してセキュリティ対策が行えるのはとても素晴らしいですし、セキュリティリスク軽減に容易に取り組めることはエンドユーザーのためにも良いことであるため、非常に満足しています。

そしてNTTグループ内であっても、プロジェクトによってはスモールスタートで始まっているものもあり、そうした場合はセキュリティ検査に十分なコストをかけられずに、セキュリティリスクが高まってしまう恐れがあります。

しかしAeyeScanを用いれば、各チームがセキュリティ対策をより自分ごと化して取り組めますし、大きなコストをかけることもないため、グループ全体としてもセキュリティ強化に取り組める非常に良いツールだと実感しています」(小林氏)

「私もここまで脆弱性診断を自動化できるのかと驚きましたし、AeyeScanを活用していく中でセキュリティへの感心が以前よりも高まっています。また、脆弱性診断と聞くと苦手意識を持ってしまう方もいらっしゃるかもしれませんが、AeyeScanは自動巡回で遷移図が生成されていくため、どういったスキャンがされているのかを見れて楽しいツール。

万全なセキュリティ対策に取り組みたい企業はもちろん、セキュリティに苦手意識を持っている組織にもぜひ使ってほしいサービスだと思っています」(中川氏)

東日本電信電話株式会社

東日本電信電話株式会社

NTT東日本グループでは、これまで光ファイバーを利用したブロードバンドアクセスサービスを提供する等、情報通信事業者として、高品質で安定した通信インフラの提供に加え、昨今では身近なICT企業として地域の課題解決や価値創造に取り組んでまいりました。地域のミライを支える価値創造事業を中心とした事業構造への転換を図り、地域社会のみなさまとともに、夢や希望を感じられる持続可能な循環型社会の共創をめざしてまいります。

https://www.ntt-east.co.jp/

AeyeScan

AeyeScanの導入を検討してみませんか?

操作性の確認、
実際に利用してみたい方へ

「AeyeScan」の無料トライアル

トライアルにかかる費用は不要。実際の操作性はどうなの?またどのように脆弱性が発見されるのか?などの疑問は無料トライアルで解消しましょう。

無料トライアルの申し込み

サービスをより詳しく
知りたい方へ

「AeyeScan」のサービス紹介資料

改めてサービスの特長や導入効果、企業の導入実績などAeyeScanについてより詳しく知りたい方はぜひサービス紹介資料をご覧ください。

サービス紹介資料を読む

お見積もりの希望・導入を
ご検討している方へ

「AeyeScan」へのお問い合わせ

お見積りの希望・導入をご検討してくださっている方はお問い合わせフォームよりご連絡ください。当日もしくは遅くとも翌営業日にはご連絡を差し上げます。

お問い合わせフォーム
icon-arrow