- 課題
- 顧客からの要請や事業拡大によるセキュリティ強化のため、脆弱性診断の頻度を高めたかったが、外部委託ではコストがかさむ上、毎回調整に多大な手間を要していた。
- 導入
- 低コストで定期的な脆弱性診断を実施できること、内製化によって外部との調整コストが削減できることを評価し、AeyeScanを採用。
- 効果
- 診断コスト・外部との調整コストともに50%削減した上で、月1回の定期診断を実現。セキュリティ面を確保した、安心・安全な学習サービスを提供。
背景と課題
「世の中から卒業をなくす」というミッションを掲げ、主に社会人・法人向けのオンライン学習サービスや研修サービスを中心に、動画を活用した「一生、学べる学校」を提供しているSchoo。高等教育機関や地方自治体に向けた事業を多面的に展開し、オンライン学習を起点に社会変革を起こそうとしている。
今やどのようなWebサービスにとってもセキュリティは必須の要件となり、利用者の目線も厳しさを増す一方だ。同社でも、経営層と頻繁にコミュニケーションを取り合いながら、セキュリティに関して理解を得る努力を進めてきた。また現場でもセキュリティガイドラインをベースに、何かリスクにつながりそうな課題があれば、その都度開発者たちと相談し、バランスの取れた落とし所を見出してきた。
さらにSchooでは開発プロセスの中でセキュリティテストを実施することで、OWASP TOP 10に含まれるような問題を中心に脆弱性を修正し、また一年に一回、外部のセキュリティ事業者に依頼して脆弱性診断を実施することでセキュアな状態でサービスを提供してきた。
だが、セキュリティに関する顧客からの要望はさらに高まってきたという。
「近年、法人のお客様からセキュリティチェックシートの提出を求められる機会が増えました。チェックシートの項目の一つとして、脆弱性診断の有無やその頻度が含まれるようになっています」(開発ユニット 基盤開発チームリーダー、田中一樹氏)
こうした傾向を踏まえ、より高頻度で脆弱性診断を行うことを検討したが、いかんせん外部の事業者に毎回依頼していてはコストがかかりすぎる。そこでSchooでは、もっと低コストで診断を実施する方法を模索し始めた。
ソリューションの選定
そんなとき、銀行が展開するビジネスマッチングサービス経由で知ったのが「AeyeScan」だった。コストが削減でき、精度が高いなら試してみてもいいだろう——と比較的軽い気持ちで導入することにしたという。実際「最初、試しに触ってみたときの印象は、正直に言うと『ま、こんなものかな』という印象でした」(田中氏)
というのも、Schooのシステムは2011年の設立以来、十数年にわたって作られ続けてきたものだ。しかも単純なECサイトなどと異なり、動画を再生し、それに対するコメントを受け付けるといった複雑な画面遷移が組み込まれている。
このため、自動化を最大の特徴とするAeyeScanといえどもサイト全体の診断自動化は難しく、5〜10%は手作業が残った。だが逆に言えば、9割近くについては診断を自動化できたともいえる。顧客からのセキュリティチェックシートの要望に応え、低コストで定期的な脆弱性診断を実施できることを評価し、正式採用に踏み切った。
さらに、もう一つ大きなポイントがあった。脆弱性診断の実施に当たって診断業者とやり取りする手間が省けることだ。「以前は先方から診断シナリオが送られてきたらそれをチェックし、修正して……といったやり取りを行うため、実際に診断が始まるまでに一ヶ月以上かかることもありました」(田中氏)
このフローでは、もしこの先「来週には診断結果が必要です」といった要望が寄せられても対応できない。AeyeScanを導入し、社内で診断を回すことでその手間も省けると考えた。
導入効果
SchooはAeyeScanの導入後、基本的に外部に提供しているサービスすべてに対し、月に一回のペースで自動的に診断を実施している。「実は、AeyeScanを導入してから今まで、CriticalやHighに分類される深刻な脆弱性の通知を受けたことはありません。『深刻な問題は出ていません』という安心材料に使わせてもらっています」(田中氏)
診断の頻度を高めた一方で、コストは50%も削減できた。またそもそも、外部に依頼していた時のようなやり取りや作業も不要になり、工数も50%程度削減できたという。
AeyeScanのサービス自体が、要望に応じてどんどん改善されていることも実感している。その一例が、スキャンの定期実行機能だ。
「当初は毎月毎月、スキャンの設定を作成する必要がありました。ちょっと面倒くさかったので『毎月第一土曜日の夜に実行する、といった具合に定期実行できる機能が欲しいです』と伝えたところ、すぐに実装してもらえました」(田中氏)
情報漏洩事件がたびたび起こり、世間のセキュリティに対する関心が高まる中、AeyeScanの導入によって、顧客に安心・安全な学習サービスを提供することに寄与できていると考えている。「やはり診断をやっているか、やっていないかは大きな差だと思います。コスト面でどうしても外注できない場合でも、AeyeScanのようなツールでのスキャンを行うべきではないかと考えています」(田中氏)
AeyeScanで作成した診断シナリオをチェックし、不必要なパスを除外するといった調整を行っているのも事実だ。だがそれは、サービスを作り、理解している側が行うべき必要な作業と捉えている。AeyeScanのクローリング機能で生成される画面遷移図やパスの一覧などを活用し、サービス全体の見通しを良くし、仕様の確認や設計に活用できるのではないかというアイデアもあるという。
今後の展開
Schooでは今後、診断に携われる人員を増やしていきたいという。「最低限の設定だけ作っておき、あとは『このボタンを押せばスキャンが実行されるよ』といった状況にして、誰でもできるようにしていきたいと思います」(田中氏)
AeyeScanが生成するレポートについても、今は「この問題は本当にLowでいいのか」と判断に迷う部分もある。そこを読み解き、ツールを使いこなしていくための教育とセキュリティ教育を進めていき、「誰でも触れる」状況を目指していく方針だ。こうして引き続きセキュリティ面を担保することで、これからもさまざまな学びを支えていく。
「診断をやっているか、やっていないかは大きな差だと思います。コスト面でどうしても外注できない場合でも、AeyeScanのようなツールでのスキャンを行うべきだと考えています」(田中氏)