- 課題
- 機能追加や画面の改修といったエンハンスのたびに外部に診断を依頼していたが、コストや調整面でハードルが高くなっていた。
- 導入
- サポートの手厚さに加え、専門知識がなくともプロジェクト側でセルフサービス的に診断が実施できることからAeyeScanを選定。
- 効果
- ナレッジを貯めつつ社内で持続可能な診断プロセスを構築し、ビジネスのアジリティを損なわずにセキュリティを確保。
背景と課題
シンプレクスは、長年にわたって手がけてきた金融関連のシステム・サービス構築はもちろん、そのナレッジを活かして他の領域にも事業を拡大している。
近年、金融をはじめ、あらゆるビジネスを取り巻く環境がこれまでにないスピードで激変している。「ある会社が一般投資家向けの金融取引サービスにおいて、 従来よりも低い手数料を発表したら、翌日にはそれをさらに下回る手数料を発表するといった具合に、情報更新のスピード感が求められています。その時に、ITがビジネスのアジリティを損ねないようにしなくてはなりません」(シンプレクス株式会社 クロス・フロンティアディビジョン 角田貴寛氏)
そこでシンプレクスでは、クロス・フロンティアディビジョンの各部門が連携しながら、クラウド基盤やマイクロサービス、DevOps、IaCといった「ビジネスのアジリティを損ねないためのIT技術」を積極的に活用し、機能や品質を担保した上で、開発者の負担を減らしつつアジリティを実現する取り組みを進めてきた。
だが、セキュリティに関しては問題が残っていた。「金融業界はもちろん、それ以外の分野でもセキュリティ対策は非常に重視されつつあります。我々もその重要性を認識し、サービスの立ち上げ時には外部の専門ベンダーに依頼して脆弱性診断を実施し、その後も追加開発や画面の改修といったエンハンスのたびに診断を行っていましたが、徐々にハードルが高くなっていました」(シンプレクス株式会社 岸野秀昭氏)
外部に診断を依頼するとコストがかかるのはもちろん、事前の調整も不可欠になる。一方で、開発プロジェクトには不確定要素がつきもので、必ずしもスケジュール通りに進むとは限らない。「診断員のリソースを確保するために二ヶ月くらい前から調整し、発注をかけていく必要があるのですが、いざ期日が近づくと、進捗が遅れているため期日を延ばしてほしいといった調整が発生することがあり、対応する手間が増えていました」(岸野氏)
コストや調整の手間といった課題をクリアして「持続可能な脆弱性診断」を実現するために、シンプレクスではツールを導入して診断を内製する方針に決定した。
ソリューションの選定
ツールの選定に当たってまず重視したのは、「開発に当たるプロジェクトチーム側でセルフサービス的に診断できること」だった。
シンプレクスでは、時期によって変動はあるものの、常に数十から100近くの開発プロジェクトが稼働している。一方でセキュリティチームのリソースには限りがあり、全てのリリースに対して診断を行うやり方ではスケールしづらい。「プロジェクトチーム側で診断作業を行ってもらい、サポートが必要になれば我々を頼ってもらう形が現実的だと考えました」(岸野氏)
加えて、診断を正確に実施するには、その前段でサイトを巡回するシナリオを作成する必要がある。診断すべきページを漏れなく網羅できているかを最も適切に判断できるのは開発者自身であり、その意味からも開発者自ら診断する方が望ましいと判断した。「中には、特殊な条件でしか発注できない商品を扱う金融取引もあります。そこまで含めてセキュリティチームが把握するのは難しく、プロジェクト側が行う方が望ましいと考えました」(岸野氏)
その観点で、オープンソースのものも含め複数のツールを比較。必ずしもセキュリティ専門ではないエンジニアでも利用できることからAeyeScanが浮上した。
AeyeScanの特徴の一つは、AIを活用して巡回シナリオを作成できることだ。シンプレクスでもAI活用に取り組み始めていることもあり、抵抗なく、むしろ開発エンジニアが事前に多くのスキルや知識を持たなくても良いことにメリットを感じた。
加えて、国産ツールならではのメリットとして充実したサポート体制が整っており、セキュリティベンダーのラックがパートナーとなって支援を得られることも安心感につながった。「実際にトライアルを行ってみても、使って感じた課題に対するエンハンスを迅速に取り込んでいただくなどフットワークの軽さを感じ、この先何か問題があっても柔軟に対応してくれそうだと感じました」(岸野氏)
さらに、多数のサービスに診断を行っても一定のライセンス費用で診断が行えることも後押しとなり、採用を決定した。
導入効果
シンプレクスは2024年1月から、サービスのエンハンス時にAeyeScanによる診断を「必須」とする運用を開始した。そこから約2ヶ月の間に、AeyeScanによる診断を経てのリリース数は早くも約30件に上っている。
セルフサービス的な診断を実現する際には、自分たちが関わるリリースに対してだけ診断が行えるよう、プロジェクトメンバーに対するアクセス制御が必須となる。シンプレクスはその仕組みをAeyeScanのAPIを活用して実現した。「APIを提供してもらうことで、アカウントの払い出しや権限の付与を柔軟に行える仕組みをツール化し、自動化できたのは良かったポイントです」(岸野氏)
ただ、どうしても自動巡回ができない部分が出てきたり、診断に時間がかかる場面も生じてしまう。シンプレクスはその都度エーアイセキュリティラボのサポート窓口に問い合わせ、回答や対応履歴を記録することで社内のQA集を充実させていき、ナレッジを蓄積していった。この結果、「便りがないのは良い便りではありませんが、大量のクレームが来ることもなくうまく回っています」(岸野氏)
運用がスムーズにいった要因として、ただツールを採用して終わるのではなく、組織的な取り組みを進めたことが挙げられる。
シンプレクスでは今回の施策を、脆弱性診断の必須化というトップダウンの指示の元、全社的な取り組みとして進めてきた。加えて、AeyeScanの本格運用を始める半年ほど前からしっかり時間をかけて繰り返しリマインドを行い、必須化するまでには少なくとも一回はAeyeScanによる診断を経験し、操作に慣れてもらうようにしたという。
さらに「私たちが常にTeamsのオンラインミーティングに控え、プロジェクト側でスキャンを行って何かトラブルがあったらすぐに入っていく『強化サポート期間』を定期的に設け、社内のエンジニアが安心して使える体制を用意しました」(岸野氏)
また、現場の中心となって各プロジェクトを取りまとめるシニアプロジェクトマネージャーに声をかけ、協力を得たこともポイントだ。意思決定権者を巻き込む工夫をしたことで、AeyeScanによる診断必須化を混乱なく、うまく進めることができた。
ポイント
- エンハンス時の診断を必須化し、セキュアに開発するカルチャーをいっそう醸成
- プロジェクト側で診断を実施し、ビジネスのアジリティを損なわずにセキュリティを担保
- サポートへの問い合わせや対応履歴といったナレッジを蓄積し、スムーズな運用を実現
今後の展望
AeyeScanの導入によって、持続可能な診断体制を実現したシンプレクス。セキュリティ水準がどれだけ向上したかを数値で示すのは難しいが、「AeyeScanというツールなくしては、社内で手軽に脆弱性診断ができる仕組みを整え、セキュアに開発するカルチャーをいっそう醸成することはできなかったと捉えています」(岸野氏)という。
診断は自動化が難しいと考えていた角田氏も、「専門知識がなくても短納期で、何よりビジネスのアジリティを損ねずに診断を実施できるのは本当にすごいことだと感じています」と述べている。
シンプレクスは今回の診断必須化だけでなく、SBOMの必須化、クラウド環境のアカウント管理や監査の仕組みの構築、全社規模でのセキュリティ訓練の実施など、さまざまな側面からセキュリティレベルの向上に努めている。AeyeScanも、ビジネスの足を引っ張ることなくセキュリティを高めていく技術の一つとして、引き続き活用していく。