ピンボール戦車少女

LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック
導入事例 | 

株式会社ヒューマンインタラクティブテクノロジー様 Quick WATCH事例

シェアボタンを表示

ラックの専門家による「AIを採用したバランスの良い支援(yuan)」で高水準のシステムを開(kai)発

システムやインフラ構築サービスを通して顧(gu)客の課題解(jie)決を支援してきたヒューマンインタラクティブテクノロジー(HIT)社は、以前(qian)からセキュアなシステム開発に取り組(zu)んできた。しかし、世間(jian)のセキュリティ意識が高まるにつれ、自社内(nei)での取り組(zu)みだけでなく、客観的な評価を求める声が寄せられるようになった。そこで同社が選択したのが、AIを活用するSaaS型Webアプリケーション脆弱性(xing)診断(duan)ツール「AeyeScan」を活用した、ラックのセキュリティ診断(duan)サービス「Quick WATCH」だった。

今回、HIT社によるQuick WATCH活用について、導入の背景や選定時の決め手となった以下(xia)のポイントも踏まえて木暮(mu)氏に話を聞いた。

  • 自社内でのセキュア開発の取り組みに加え、第三者による客観的な評価を実現
  • ラックのセキュリティ専門家による「AIを採用したバランスの良い支援」で、HITによる対応を補完
  • わかりやすいレポートを参考に、検査と修正のサイクルをスピーディーに実現
ソリューションサービス事業部 サービスグループ グループリーダー 木暮 裕康様
ソリューションサービス事業部 サービスグループ グループリーダー 木暮 裕康様

背景と課題

HITはITプロフェッショナル集団として、システム開発やインフラ構築コンサルティングサービスを通(tong)して、顧客の課題解(jie)決を支(zhi)援してきた。近年は、Microsoft AzureやMicrosoft 365など、マイクロソフトのクラウド導(dao)入の支(zhi)援も展(zhan)開している。

通常、システム開発では、機能要(yao)件(jian)と納期、コストといった事(shi)柄を重視(shi)する。しかし、サイバー攻撃(ji)が増加し、情報漏洩事(shi)件(jian)が多(duo)発する近年では、それに加えて、セキュリティという非機能要(yao)件(jian)も強く求められるようになっている。このためHITでは社(she)内のセキュリティレベルを高めるだけでなく、顧客向けに構(gou)築するシステムにおいても必(bi)要(yao)十分なセキュリティ対策(ce)を実(shi)施してきた。

具体(ti)的には、システムに脆弱(ruo)性(xing)を作(zuo)り込まないよう各エンジニアがセキュアコーディングについて学(xue)び、開(kai)発プロセスの早い段階からセキュリティを意識(shi)して安(an)全なシステムを構築するよう努めている。さらに、オープンソースの脆弱(ruo)性(xing)診断ツールを用いてスキャンを実施し、プラットフォーム側の既知の脆弱(ruo)性(xing)はもちろん、WebアプリケーションにもSQLインジェクションやクロスサイトスクリプティングといったよく知られた脆弱(ruo)性(xing)が存在しないことを確認した上で納品する、という流れを整備しつつある。

だが、いくら「自(zi)(zi)社できちんとセキュリティをチェックしています」と言(yan)っても、「それは単なる主観にすぎない」と言(yan)われれば反(fan)論(lun)が難しくなる。実際に、木暮(mu)氏が携わったあるプロジェクトでは、顧客から「HIT自(zi)(zi)身の診断に加え、第三者(zhe)による診断を行った上でシステムをリリースしたい」という要(yao)望が寄せられたという。

「お客さまが扱(xi)う情(qing)報(bao)の重要度(du)が高いプロジェクトであることに加え、近年、不正アクセスが頻発しています。もし脆弱(ruo)性を攻(gong)撃されて個人情(qing)報(bao)の漏洩につながれば、直接的な被害(hai)はもちろん、お客さまの信用やブランドも傷つきます。こうした情(qing)勢を踏まえ、客観的な立場からの脆弱(ruo)性診断(duan)を採り入れることにしました」(木暮氏)

HITから顧客(ke)の担当者(zhe)(zhe)への説明はもちろん、顧客(ke)側(ce)担当者(zhe)(zhe)から上層部へ説明責任(ren)を果たす上でも、第三者(zhe)(zhe)的な観点での評価が求められていた。

ソリューションの選定

HITがまず考えたのは、外部のセキュリティ診断サービスの活用だった。ただ、診断までにさまざまな準備(bei)や調整(zheng)が必要で、労力やコストがかかることが課題となった。

しかもこうしたサービスは、必要な時(shi)にその都度(du)単発(fa)で診断を実(shi)施(shi)する「スポット契約」がほとんどだ。だが、目の前のプロジェクトだけでなく、他の案件(jian)でもセキュリティ診断を実(shi)施(shi)し、「HITのシステムはセキュリティ水準(zhun)が高い」という付加価値を付与していくことを考えると、診断サービスという形態はそぐわないと考えた。一(yi)度(du)きりではなく、クラウド基(ji)盤をベースに改(gai)修(xiu)・修(xiu)正(zheng)を加えるたびに継続的に検(jian)査を行い、セキュリティを担(dan)保し続ける必要がある。

そんな悩みを抱いていた時(shi)に、ラックが提案したのが、エーアイセキュリティラボが開発したSaaS型Webアプリケーション脆弱性診(zhen)断(duan)ツール「AeyeScan」を活用し、自(zi)社で繰(qiao)り返しセキュリティ診(zhen)断(duan)を実施できるようにするラックのサービス「Quick WATCH」だった。

木暮様とラック営業統括部 ソリューション営業推進部 第二グループ 福本和帆(右)
木暮様とラック営業統括部 ソリューション営業推進部 第二グループ 福本和帆(右)

ラックは、複数のセキュリティ診断(duan)(duan)サービスを用(yong)意しているが、その中からHITがQuick WATCH を選択したことには理由があった。Quick WATCHを活用(yong)すれば、ラックのセキュリティコンサルタントが監修した上で、AIのメリット、すなわちより少ない期(qi)間と労力(li)で診断(duan)(duan)できるという利(li)点が得られるからだ。

もう1つのポイントは、セキュリティ企業としてノウハウを蓄(xu)積してきたラックの支援(yuan)体(ti)制だ。「かゆいところに手が届く」専門的な支援(yuan)が得られるが、「すべてお任せ」でもない、バランスの良(liang)い支援(yuan)体(ti)制を整えているところに安心(xin)感(gan)があったという。

「完(wan)全(quan)なコンサルティングサービスには『やり過ぎてしまう』傾向があります。われわれもエンジニア集団ですので、丸投げではなく、自分(fen)(fen)たちでできる部分(fen)(fen)は自分(fen)(fen)たちでやろうと考えていました。ただ、どうしてもセキュリティという専門性が求められる部分(fen)(fen)となると、手助けが必要になることがあります。ラックの支援はそのあたりのバランスが良(liang)く、コスト的にも適切でした」(木(mu)暮(mu)氏)

導入効果

HITはPoC(概念実証)を実施し、目の前にあるプロジェクトだけでなく、将来的にセキュリティ診断(duan)を内製化していく上でも有効(xiao)であると判断(duan)し、Quick WATCHの導入を決定(ding)した。導入に当たってはラックの専(zhuan)門家とともに、どの水(shui)準(zhun)を満たせば顧客の要望に応えられるかを検討し、ベースラインを形作っていった。

実(shi)際(ji)に検(jian)査を始めて届いたのは「ここまで検(jian)査が簡(jian)単になるのか」というエンジニアからの驚きの声だった。一般に、Webアプリケーションのセキュリティ診断(duan)を実(shi)施する際(ji)には、どの画面でログインし、どのように画面遷移が行われ、どんな順番でサイトを巡回していくかというシナリオを人間(jian)の手で作成(cheng)し、ツールに教える必(bi)要がある。だがAeyeScanではAIを用いてその部分を自動(dong)化している。人手による作業の手間(jian)がかからず、十二分に目的を達成(cheng)できることがわかったからこその、喜びの声だった。

プロジェクトチームは年度末(mo)までにセキュリティ診(zhen)断を実施し、適(shi)切に修正を加(jia)えてリリースしなければならないというプレッシャーにさらされていた。当(dang)初(chu)現場には、「検査をするのはいいが、何が出(chu)てくるかわからない。もし対策が間に合(he)わなければどうするんだ」という緊張(zhang)感(gan)が漂っていたという。

しかしQuick WATCHを活(huo)用し、ラックのセキュリティ専(zhuan)門家による支援を得(de)ることで、スピーディーに検査と修正のサイクルを回すことができた。検出された脆弱性に対(dui)しては顧(gu)客に対(dui)策の方向(xiang)性を説明(ming)した上で一通り対(dui)策を実(shi)施し、再度Quick WATCHによるスキャンを実(shi)施して問題が修正されていることを確認した上で、無(wu)事(shi)にリリースにこぎ着けた。レポートも生(sheng)成されるため、効(xiao)果も説明(ming)しやすかったという。

「検出(chu)された脆弱性(xing)の中には、自分たちで判断して直(zhi)せるものもあれば、解釈がわからないものもいくつかありました。解釈に迷うものについてはラックに問い合わせました。例えば『WAFのログと付(fu)き合わせながらどう判断していくべきか』といった相談に乗ってもらうことができました」(木暮(mu)氏)

ソリューションサービス事業部 サービスグループ グループリーダー 木暮 裕康様

今後の展開

コストや時間(jian)を無限にかければ、究極のセキュアなシステムが実現できるかもしれないが、それは現実的ではない。HITではこのプロジェクトを皮切りに、「どこまでがNGで、どこからはOKか」というセキュリティ基準を形作った。AeyeScanというツールと開発するシステムの特性(xing)の双(shuang)方を踏まえながら、ライフサイクルの中でどうセキュリティスキャンの網羅性(xing)を維(wei)持し、セキュリティ品質を保っていくかという課題に取り組(zu)んでいく。

「われわれ自(zi)身の手でセキュリティ診断(duan)を実行できることには、それだけで高い価値があると考(kao)えています。われわれがこの先リリースしていくシステムやサービスのセキュリティを、セキュリティ専門(men)家の支援を受けた上で自(zi)分(fen)たちの手で担保していけるのは、非常に心強(qiang)いことだと考(kao)えています」(木暮氏)

そして、システムインテグレーションサービスやマネージドサービスの付(fu)加価(jia)値(zhi)を高める武(wu)器として、AeyeScanとラックの脆(cui)弱(ruo)性診断コンサルティングを組(zu)み合わせたQuick WATCHを活用し、お客(ke)さまとの信頼関(guan)係を作り上げいきたいという。「単に技(ji)術やシステムを提供するだけではなく、『HITなら安(an)心』という安(an)心感を付(fu)加価(jia)値(zhi)として届けられる存(cun)在になることを目指しています」(木暮(mu)氏(shi))

導入事例のダウンロードはこちらから

PDF版ダウンロード(653.1KB)

お客様プロフィール

株式会社ヒューマンインタラクティブテクノロジー

導入サービスのご案(an)内

詳細は、サービスページをご覧ください。

Webアプリケーション診断「Quick WATCH」

この記事は役に立ちましたか?

はい いいえ