第三者目線の高精度な定期診断がお客様からの信頼の証に

背景と課題

　ワイズは大学生協向けの未収金管理や大学の物品調達といった、大学関連に特化した複数のB2Bサービスを提供している。クラウドサービス等を利用してシステムを構築しており、大学が必要とする物品の調達や検収といったプロセスを効率化できることが特徴だ。

「こうしたプロセスは文部科学省のガイドラインを遵守しながら進めなければならないため、事務作業にかなりの時間が取られます。我々がそういった部分をDXすることで、大学の先生方が研究などに使う時間を創出できないかと考え、サービスを提供しています」（ワイズ代表取締役社長、矢部憲太郎氏）

　一方、大学など教育機関で複数のセキュリティインシデントが起きていることを受け、調達プロセスを支援するこうした情報システム・サービスに関しては、セキュリティ面でのガイドライン遵守も求められるようになった。特に新たなITサービスを選定・採用する際には、機能や価格はもちろん、セキュリティ面でしっかりとした対策を取っているかどうかを確認することが、大学の担当者から求められるようになった。

「大学へ提案を行う際には、ISMSを取得しているかどうか、情報セキュリティに関してどんな対策を実施しているかというヒアリングを受けることになります。近年はそうしたヒアリング項目の一つとして、定期的に脆弱性診断を実施しているかどうかも尋ねられるようになりました」（矢部氏）

　ワイズでは、経営者であると同時にセキュリティ責任者でもある矢部氏がリードする形で、先行して2020年にISMS認証を取得していたが、こうしたセキュリティへの温度感の高まりを背景に、さらなる対策の必要性を感じていた。また経営者の目線で見ても、「インシデントが起こってしまうと収束させるまでが大変ですが、定期的に診断を実施することによって、事前に、あるいは早期に脆弱性を発見し、早期に対処することもできると考えました」（矢部氏）と、定期的な診断を実施する方針を固めた。

ソリューションの選定

　ワイズはそれ以前から、自社サービスに対する脆弱性診断を実施していた。自分たちでは見落としていた課題をチェックでき、第三者の目による一定のセキュリティ担保を得られるという意味で安心感は得ていたが、定期的に実施するとなるとコストが課題になったという。

「当時依頼していた診断サービスは、一画面当たりいくら、という形で課金される従量制の課金体系でした。このためすべてのサービスを対象に網羅的に診断することは難しく、ある程度対象を絞らざるを得ませんでした」（矢部氏）

　主要な部分を中心に、画面数では全体の3分の1程度、画面の種類でいくと7〜 8割程度はカバーできていた。また、範囲外の部分であっても、作りが似ている部分が含まれているため「おそらく大丈夫だろう」と判断することができたが、完全に網羅できているとは言えない。さらに、この先常にかなりの額の出費を強いられるのは難しいと考え、客観的な基準に基づきつつ、自社で診断を行うためのツールを探し始めた。

　最初に検討したのは、普段の開発でも利用しているプロジェクト管理ツールに付属してくる動的アプリケーションセキュリティテスト（DAST）機能だった。早速トライアルで試してみたものの、ワイズが構築しているサービスのログイン画面すらうまく診断できないことが判明し、早々に選択肢から外すことになった。他にもツールを探してみたが、検査対象となるドメイン数の上限に制約が設けられていたりして、なかなか「これ」とぴったりくるものが見つからない状況だった。

　そんなときに、ISMS支援SaaSサービスのサイトでたまたまバナーを目にしたのがAeyeScanだった。
「以前、WEBブラウザのテストの自動化を自力で試したことがありましたが、脆弱性診断というのは入力値や画面遷移の設定などが非常に大変だというイメージがありました。それに対しAeyeScanは、特に何も設定しなくても自動的にどんどん先の画面に進んでいくことができ、『なかなかいい時代になったな』と感じました」（矢部氏）

　コスト面でも、ワイズが3つのサービスで利用しているドメインすべてを定額でカバーできる点が条件に合致していた。また、外部に診断を委託する際には、サービスに関するドキュメントやデータセットの準備や調整などの手間が発生し、毎回見えないコストがかかっていたが、AeyeScanによって診断を自動化することでそうした負荷を省けることもメリットだと判断し、2023年4月にAeyeScanを採用することに決定した。

「ちょうど脆弱性診断を行った直後で、外部に委託するのは非常にコストが高いと感じていたところでした。この価格で診断を実施できるならばまずは一度AeyeScanを試してみて、ダメならダメで他の方法を探そうと考えました」（矢部氏）というスタンスで導入することに決めたという。

導入効果

　とはいえ矢部氏は経営者兼セキュリティ責任者として、多くの業務を回していかなければならない立場だ。並行してISMSに関する他のプロジェクトを進めていたこともあり、実際にAeyeScanの運用を開始したのは2023年の秋に入ってからだった。

　元々ワイズでは開発プロセスの中で、チェックリストなどを用意し、個々のコンポーネント単位でテストをしっかり実施する体制を取っていたこともあり、AeyeScanでスキャンを開始してから深刻な脆弱性は指摘されていない。

　ただ、自己流の診断を行い、主観で「おそらく大丈夫です」というのではなく、国内でも実績があり、業界標準に沿ってチェックを行うツールを用いて客観的な診断を行い、その結果を基に自信を持って「深刻な脆弱性はありません」と言える点に大きな価値を感じている。

「お客様に提示するサービスレベルアグリーメントの中で、『第三者のツールによる業界標準に沿った脆弱性診断を実施している』と明記できるのは大きな効果だと思っています」（矢部氏）

　加えて、診断コストも低減できた。以前、外部に診断サービスを依頼した際には、予算の制約上対象を絞らざるを得なかったが、AeyeScanでは画面も、またドメイン数の制約なく診断が行える。「当初は、もしかすると毎年人を一人雇うくらいの予算を確保しなければいけないかもしれないと悩んでいましたが、AeyeScanは、ひとたび設定さえすれば定額で、本来かかっていたであろう額の半分以下で定期的に診断を実施でき、非常にありがたく思っています」（矢部氏）

　実際に診断を行っている担当者も、特に設定やレポートに関してつまづくことなく、スムーズに運用できているという。ただ、スキャンに想定以上の時間がかかることもわかったため、当初計画していたCI/CDパイプラインへのAeyeScanの統合はひとまず見送り、月に一回のペースで定期的に診断を実施することとした。ただ、採用決定から導入までの間に、SaaSであるAeyeScan側の機能が強化され、定期スキャン機能が追加されたのは自社にとって幸いだったという。

今後の展開

　ワイズは現時点では開発と脆弱性診断のプロセスをそれぞれ独立した形で回しており、まずは現在のプロセスをしっかり実行していく方針だ。

　一経営者としても、開発の早い段階で脆弱性診断を実施していくのは、ビジネス的に理にかなった判断だととらえている。「もしことが起これば、しかるべき部署への謝罪をはじめ、事後対応には多大な労力とコストがかかります。やはり事前に問題をつぶせるだけつぶしていく方がベターですし、精神衛生上もいいことだと思っています」（矢部氏）

　今後はCI/CDパイプラインとの統合も含め、DevSecOpsの実現に向けた取り組みも進めていく。開発プロセスの中で新たなコードをマージしたらAeyeScanによる診断を実行し、脆弱性が検出されたら速やかに修正していくような形を視野に入れるほか、サービスの中核でもあるAPIの診断も検討している。

　世の中でセキュリティインシデントが多発し、セキュリティへの関心が高まる中、ワイズの顧客である大学側の目も厳しさを増しており、大学それぞれの情報システム部門や内部監査部門がさまざまなチェックを求めるのが当たり前のようになった。ワイズは今回のAeyeScan導入により、サービス提案時に自社のセキュリティ品質をきちんと説明できる体制が整ったと感じている。

「製品プレゼンの際、先方の担当から『セキュリティ面はどうしているんですか？』と尋ねられることもあります。そんな質問に対し、会社としての体制に関してはISMS認証を取得済みであり、製品基盤はクラウドサービス等を利用してベーシックなセキュリティを担保していることを説明してきました。さらにサービスに関しては、AeyeScanを利用し、第三者のツールによる業界標準に沿った脆弱性診断を定期的に実施しています、ということを一枚にまとめ、アピールできるようになったと考えています」（矢部氏）。今後も、顧客から求められるセキュリティのハードルを超えていくツールとして活用していく。