- 課題
- 開発チームごとに脆弱性診断の体制が異なり、手戻りが発生していた
- 導入
- 直感的なGUI、診断精度の高さ、SPA対応などを総合評価し採用
- 効果
- チーム単位の効率化にとどまらず、ホールディングスと連携しグループ全体の工数削減に貢献
背景と課題
TOPPANデジタル株式会社は、デジタル技術とデータ活用を通じて、TOPPANグループのDX事業を開発・推進する事業会社だ。祖業である印刷事業で培った表現技術やセキュリティ技術を基盤に、決済、マーケティング、流通、製造、自治体DXなど幅広い分野でソリューションを展開している。
こうした事業特性上、重要情報を扱う機会も多い。そのため、TOPPANホールディングスを中核とするグループ全体でセキュリティを経営の重要課題と位置付け、多角的な対策を推進してきた。
その一つが脆弱性診断だ。新たなWebアプリケーションやサービスは、TOPPANホールディングス情報セキュリティ本部による診断を経なければリリースできないルールを設け、一定水準のセキュリティを担保している。TOPPANグループでは「サービス品質管理規定」を定めており、TOPPANデジタルではサービス品質管理部が開発チームと連携しながら、リリース前のチェックを実施してきた。
しかし、実際の運用は開発チームごとに異なっていた。独自に診断ツールを導入し事前チェックを行うチームがある一方で、TOPPANホールディングスによる出荷前診断のみに依存するチームもあった。
「その結果、ホールディングスによる診断で脆弱性が指摘され、大幅な手戻りが発生することもありました。しかも、グループ全体の診断を担うチームのリソースには限りがあります。修正後に再診断の依頼をしたくても順番待ちとなり、当初のリリーススケジュールを見直さざるを得ないケースもありました」(同社サービス品質管理部 岡野 勝好 氏)
チーム間のばらつきと、スケジュールを停滞させる手戻りの発生。これらを解消するため、全社標準となる診断ツールの導入検討が始まった。
ソリューションの選定
まず、すでにいくつかのチームで利用していたツールを検討したが、使い勝手の面で課題があった。
「高機能ではありましたが、使いこなすにはセキュリティに関する専門知識が必要でした。また、診断結果レポートも含め、UIがすべて英語ということもあり、浸透しにくいと判断しました」(同社サービス品質管理部 吉川 奈穂美 氏)
開発プラットフォーム統合型の静的解析ツールも検討したが、こちらはコスト面がネックとなった。
そこでSaaS型の脆弱性診断ツールを幅広く調査。AeyeScanを含む4製品が候補となった。
「診断精度に加え、SPAへの対応や自動クローリング機能の有無などを重視して比較しました。また、診断結果が見やすいか、その結果に基づいてどういった修正を加えればよいかという対策方針の明確さも確認しました」(吉川氏)
脆弱性を含んだ「トレーニング用アプリ」を複数用意して実施したトライアルで、診断精度や自動化機能が最も優れていたのがAeyeScanだった。
「特に、他の診断サービスはSPAへの対応がまだ進んでおらず、AeyeScanと精度に差がありました」(吉川氏)
また、AeyeScanは登録できるドメイン数に制限がなく、TOPPANデジタルが開発する多くのアプリケーションを対象に含めることができる。さらに、チームやドメインごとに詳細な閲覧権限を設定できる点など、大規模環境でのガバナンス維持に欠かせない運用機能も高く評価された。
導入効果
TOPPANデジタルは、総合的に高評価だったAeyeScanを採用することに決定し、2024年1月から正式に導入した。社内コミュニケーションツールや開発部門向け説明会を通してAeyeScanの社内周知を進め、活用の拡大を図っている。
導入当初は開発チームにスムーズに浸透するかどうか懸念していたが、それは杞憂に終わった。「AeyeScanのGUIは直感的でわかりやすいことに加え、公式ドキュメントも充実しており、不明点があればそれらを参照しながら利用してもらっています」と吉川氏は言う。
どうしてもわからない点があれば、エーアイセキュリティラボの技術サポート窓口に直接問い合わせできることも利点の一つだ。トレーニング代わりに、エーアイセキュリティラボが開催するハンズオンセミナーに参加してもらうこともあるという。
中には従来の診断ツールを使い続けているチームもあるが、ゲートチェックチームによる告知や導入支援が功を奏し、それまで脆弱性診断を実施してこなかったチームを中心にAeyeScanの活用が進み始めた。
「現場の実感として、これまで最長で1ヶ月かかっていた診断が、数日で完了できるようになりました。診断結果も、AeyeScanであれば完了後ただちに確認できるため、即座に修正・改善へ着手できています」(吉川氏)
さらにサービス品質管理部では、AeyeScanによる診断結果をTOPPANホールディングスの出荷前診断チームと連携している。
「診断結果を共有することで、ホールディングス側の出荷前診断の工数が75%ほど削減できました。ツールによる自動診断に適したWebアプリであれば、より高い効果が見込めると聞いています。また、以前はプロジェクトごとに診断スケジュールの調整が必要でしたが、今ではプロジェクトの進捗に合わせて自律的に診断を実行できます。 スケジュール待ちによるロスタイムが解消された点は、開発現場からも高く評価されています」(吉川氏)
今後の展望
サービス品質管理部では、「楽をできるところはどんどん楽をして、開発者が開発以外の部分に時間を取られないような環境を作りたい」という思いを持ち、さまざまなツールや環境の整備を進めてきた。今後もそのコンセプトを追求し、AeyeScanと自動テストツールを組み合わせることで、テストの大部分を自動化できないかなど、多角的に模索していくという。
並行して、TOPPANグループ全体での活用も検討していく。
「手戻りを減らし、TOPPANホールディングスにとっても開発の現場にとっても、Win-Winになる形を模索できればと考えています」(岡野氏)
その一環として、AeyeScanのような診断ツールを使いこなせるセキュリティ人材の育成や、ガバナンス体制への組み込みも検討しながら、引き続きセキュリティ品質の向上に努めていくという。
