コストを抑えて、時短、簡単、高精度な診断が実現できた

 
課題
公開サイトの診断を外部委託していたが、数百万円単位の診断コストがかかるだけでなくスケジュール調整等の負荷も高く、内製化を検討していた。
 
導入
自動巡回の精度や脆弱性の検知率、誤検知の少なさ等を定量的に比較検討した結果、AeyeScanが一番だと判断して導入を決定。
 
効果
2022年9月から公開サイトを対象に年1回の定期診断を順次展開中。「自動巡回機能」により作業のほとんどを自動化でき、担当者の負荷も軽減できた。

背景と課題

タイガー魔法瓶は「世界中に幸せな団らんを広める。」というビジョンを掲げ、「真空断熱技術」と「熱コントロール技術」を生かした魔法瓶や炊飯器といった調理家電を提供し続けてきた。2023年2月3日に創立100周年を迎え、記念商品なども販売している。

この100年で変化したことの1つがデジタル化だろう。タイガー魔法瓶もメーカーとして、スマホアプリと連携して家事DXを実現するIoT炊飯器を開発・販売するほか、販路としてもインターネットを活用し、ECサイト「タイガーオンラインストア」を展開。ほかにもコーポレートサイトを通して取り組みを伝え、顧客との接点を強化してきた。

ただ、こうした公開サイトのセキュリティをどのように担保するかが課題となっていた。「コーポレートサイトをはじめ公開サイトについては、新規立ち上げ時や、リニューアルのタイミングで必ず脆弱性診断を実施するルールになっていました。しかし、その診断を外注せざるを得ない状況がありました」(タイガー魔法瓶株式会社 経営企画グループ 情報システムチーム 主事 安川明伸氏)

tiger-corporation-aeyescan-2
経営企画グループ 情報システムチーム 主事 安川 明伸 氏

タイガー魔法瓶では基本的に、Webサイトの構築・開発は外部の事業者に委託してきた。しかし、セキュリティの担保はやはり自社の責任だ。ただ、脆弱性診断には専門的なスキルやノウハウが必要となる。セキュリティ人材不足がうたわれる中、社内でそうした人材を確保するのは難しく、ここも外注せざるを得ない。この結果、1つのサイトを診断するのに数百万円単位のコストがかかる上に、診断実施に至るまでの調整コストも膨らんでいた。

また、日程調整も大きな課題であった。「リニューアル時などはスケジュールがギリギリになってしまい、脆弱性診断を実施するのも日程的に厳しい状況になってしまうことがありました。また、いざ実施するとなっても外部の診断業者とのスケジュール調整を、非常にタイトな日程の中でやらなければいけないこともありました」(安川氏)

ソリューションの選定

おそらく多くの企業が同様の課題を抱えているだろう、こうした背景からタイガー魔法瓶では脆弱性診断の「内製化」を目指し、そのための診断ツールを探し始めた。

まず情報収集を進め、その中から国内でも実績のある脆弱性診断ツール3種類に絞り込んでいった。「自分たちでも使いこなせるか、運用できるか」という点を重視しながら、社内のいくつかのサイトを対象にPoCを実施した結果、選択したのがAeyeScanだった。

tiger-corporation-aeyescan-3

特に評価したポイントの1つが「自動巡回機能」だ。「他のツールも自動巡回機能や自動診断機能を備えていましたが、実際に試してみると止まって進まないことがあり、結局人が手を動かさなければならないこともありました」(安川氏)。AeyeScanはそれらに比べ自動巡回の精度が高く、仮に行き詰まる箇所があっても充実したサポートによって解決できたという。

2つ目のポイントは診断精度だ。他の製品では、過検知も含め非常に大量のアラートが検出され、「本当にそれが正しい指摘なのか」を見極める作業が必要となる上、自分たちだけで判断を下すのは難しいと感じた。これに対しAeyeScanでは信頼性のある結果が得られた。

tiger-corporation-aeyescan-4
経営企画グループ 情報システムチーム 松田 晋篤 氏

「自動巡回の精度、そして検知率や誤検知の少なさといった精度を定量的に比較検討した結果、AeyeScanが一番だと判断しました」(同情報システムチーム、松田晋篤氏)。これまで外注していた診断費用に比べて、コストを大幅に削減できることもポイントだった。

率直に言えば、AeyeScanは立ち上がって数年という比較的新しいサービスであり、歴史や実績の面で不安がなかったわけではない。しかし、情報処理推進機構(IPA)の「2021年度セキュリティ製品の有効性検証における対象製品」に選定されたことも後押しとなった。

AeyeScanに決定した3つのポイント

  1. 自動巡回の精度が高く、行き詰まる箇所があっても充実したサポートによって解決できた
  2. 過検知・誤検知が少なく、信頼性のある結果が得られる
  3. 外注していた診断費用と比較して、コストを大幅に削減できる

導入効果

タイガー魔法瓶は2022年9月からAeyeScanの導入を開始し、まず安川氏、松田氏の2人で診断の内製化に取り組み始めた。手始めに、ちょうどリニューアルのタイミングを迎えていたコーポレートサイトのリリースに合わせて診断を実施したのを皮切りに、年に1回の定期診断という位置づけで公開Webサイトを対象とした診断を順次展開している。

PoC段階から評価していた「自動巡回機能」を活用することによって、作業のほとんどを自動化することができ、担当者の負荷軽減につながっている。加えて、開発側が気付いていなかった細かな脆弱性が指摘される場面もあり、セキュリティレベルの担保にもおおいに役立っていると感じている。

さらに、使い始めてみて実感したのが、GUIの使いやすさだ。「GUIが直感的に作られているため、使いやすいだけでなく、CSIRTの他のメンバーにAeyeScanの使い方を教育しやすいと感じています」(松田氏)。この先、内製化を進めるにあたって人員の育成は不可欠だが、脆弱性診断の方法を教える側、教えられる側の双方にとって理解しやすい点がポイントだと語った。

クラウドサービスならではの、こまめな機能改善にも好印象を抱いている。たとえば、何らかの理由で巡回しきれなかったページがあった場合に最初から診断し直すのではなく、中断した時点から先だけを再検査できる機能が、バージョンアップで新たに加わった。「ちょっとした手間を省ける機能、かゆいところに手が届く機能がどんどんAeyeScanに追加されていくので、とても便利だと感じています」(松田氏)

今後の展開

タイガー魔法瓶ではAeyeScanを活用し、定期的に脆弱性診断を実施しつつ、診断の頻度を高めることで、公開Webサイトのリスクを下げていきたいと考えている。

また今後は、IoT製品とWebサイトやアプリのやりとりを担うAPIについても、現時点では脆弱性診断を外注しているが、ゆくゆくはAeyeScanを用いて内製化できればと期待している。

tiger-corporation-aeyescan-5
経営企画グループ 情報システムチーム マネージャー 竹原 健太 氏

「安く早く脆弱性の診断ができるという話を聞いて、当初は『そんなうまい話があるのかな』と疑心暗鬼でした。しかし、しっかり社内で検証を行った結果、機能面でもコスト面でもバランスの取れた製品であることがわかり導入しました。いい判断だったと思いますし、本当に安く早く診断ができる環境を実現できて驚いています。また、Webサイトの構築業者や診断業者にお任せではなく、我々自身が診断し、セキュリティ強化に向けたアプローチをしていける点でも非常に有効な手段であり、今後もフルに活用していきたいです。」(同情報システムチーム マネージャー 竹原健太氏 )

導入事例_タイガー魔法瓶株式会社様_logo

タイガー魔法瓶株式会社

「世界中に幸せな団らんを広める。」というビジョンのもと、真空断熱ボトルや卓上用ポットに代表される「真空断熱技術」と電子ジャーをはじめとする炊飯器などの「熱コントロール技術」を用いた製品づくりで、食卓からアウトドアまで、さまざまな暮らしのシーンに快適さと便利さを提供している。

https://www.tiger-corporation.com/ja/jpn/