ビジネス拡大の鍵はセキュリティ！？
CI/CDと連動した形でのDevSecOpsの実現へ

導入企業紹介

1969年に創業したインフォテック株式会社は、50年以上もの歴史の中で培ったノウハウを活かし、あらゆる業務のお客様のシステムを設計から開発・保守の部分までご支援しています。

コンサルティングから真の課題を抽出・分析し、解決案を考え、それを実現するために必要となる最適なシステムやツールを構築・開発しています。部分的な支援から、運用・保守までを含めたトータル的な支援まで、ご要望に合わせてサポートいたします。

課題と効果

課　題

• 脆弱性に関する自動診断について、ネットワークやクラウド設定までしか対応できていなかった。

効　果

• ビジネスの機会創出
• 顧客要望に応えたトータル支援
• CI/CDと連動した形でのDevSecOpsの実現へ

お客様のトータルサポートを目指して
――導入決定者の安樂さんと、利用者の橘さんにお話を伺います。はじめに、御社の事業内容を教えてください。

安樂：弊社は、様々な業種、業態のお客様とお取引がございます。金融業、公共、医療、製造業などに向けた受託開発と、帳票やワークフロー製品の開発、販売やサービス提供を得意としております。その中でも特に、保険会社を中心とした金融業の顧客との取引が多いです。

お客様に総合的なサービスを展開するため、アプリケーションの開発にとどまらず、近年はクラウドやネットワークなどを含めたトータルなサービス提供を推進しています。それらを通じてお客様の満足と、当社の成長の相乗効果を目指しています。

――お二人はそれぞれどのような業務を担当していますか？

安樂：私はビジネスソリューショングループに所属しております。

基本的には新規顧客からの受託開発を主に行っているグループです。その中で、クラウドに関するセキュリティ強化と、セキュリティベースの観点からビジネスの立ち上げサポートを行っています。新サービスに対し、適した脆弱性診断を選定することも業務の一つでした。

　橘：私はビジネス企画室に所属しております。

ビジネス企画室は、研究開発部門といいますか、事業開発や技術研究を行っています。安樂の所属しているビジネスソリューショングループが新規ビジネスとしてセキュリティソリューションを開発しようとしているので、私はビジネス企画室からそのメンバーとして参画しています。

このセキュリティビジネスの立ち上げは社内でも重要度が高いことから、社内横断のワーキンググループとしてメンバーが選出されました。

――なるほど。だからお二人がSecurify導入に関わってくださったんですね。セキュリティ対策について、御社ではどのように取り組んでいますか？

安樂：インフラ面のセキュリティに関しては、クラウド事業者のサービスを組み合わせることなどで実施してきていましたが、Webアプリケーションに対しては、弊社でソリューションを持ち合わせておらずサービス提供できずにいました。

今まで要望されることもありましたが、なかなか応じることが出来なかったことが課題であると感じており、今年から始まったセキュリティビジネスと組み合わせて動き出したという背景になります。

――今回、Securifyで診断したWebアプリケーションの概要を教えてください。

安樂：3つあります。

• 自社保有のWordpressのサイト
• 自社プロダクト「つなかんたん」
• 弊社で受託開発を行ったシステム

つなかんたんは、弊社が開発したアンケート回答の共通点を1画面に可視化するツールです。
アイスブレイクや自己紹介、アンケート分析などにご活用いただけます。

――WordPress診断もご利用いただいたんですね。

安樂：SecurifyのWordPress診断機能が開始された時に営業の方から連絡をもらい、社内評価のために使用しました。ちょうど当社保有のWordpressサイトがあったので、WordPress診断を行いリスクを発見することができました。

画面や情報の公開状況が可視化できる点や、結果がレポートで出力される点においても、使いやすさを感じました。

――数ある脆弱性診断ツールの中から、Securifyを導入いただいた経緯を教えてください。

安樂：以前から当社顧客向けの開発案件の中では、Webアプリケーション、およびネットワークなどのインフラについて、セキュリティ診断を要望されることが多くありました。

特に、金融業のお客様が多いため、関心が高く、強く要望されることもありました。しかし、その要望に対して、インフォテックで対応が難しかったことから、お客様の方で調達していただく方針だったためお願いする必要があり大変心苦しい状態でした。

しかし、先に示したようなトータルなサービス提供のためには、必然的にセキュリティについてもなにかしらの取り組みが必要です。セキュリティに関してもワンストップで請け負える体制を目指しました。

• ビジネスの機会創出
• 顧客要望に応えたトータル支援の実現

Securifyの導入には、上記が目的としてありました。

まずは、開発サービスのオプションとして組み込むために、脆弱性診断ツールを探すことから始めました。

過去に経験していたツール導入の大変さとSecurifyの違い
――その中で、Securifyの導入を決断いただいた理由は何ですか？

安樂：実は、以前に他社のセキュリティツールを試したことがありました。その時は診断対象によってカスタマイズや準備検査用の環境維持が必要だったことから、かなりリソースを割かなければならず、大変な印象でした。

あわせて診断結果については、客観性を持たせる必要があると考えており、社内で生み出すというよりは、社外サービスによる脆弱性診断ツールを探していたんです。

市場にあるサービス・ツールの中から、3つほどのツールを比較評価しました。

インフォテックグループ、および当社におけるセキュリティの基準、主にISMSに関するルールに準拠可能であるか、QMSや社内規定に対応しているかといったコンプライアンス、リスク管理、診断充実度、価格の合理性、サービスの継続性などといった項目を可視化したチェックリストを作成し、全部並べて確認していきました。
項目の洗い出しにはIPAの資料も参考にしました。
他社製品は、診断項目数や、創業間もなかったため事業継続可能性という点で劣っていました。

Securifyに関しては、当社で設定した評価項目に対する情報提供がとてもスムーズにでき、細かい質問にもすぐご対応いただけたことと、脆弱性診断としての項目や内容の豊富さに惹かれました。

実は、ツール同士の比較だけでなく、社内のクラウドサービスで利用していた外部の脆弱性診断とも比較してみたんです。Securifyと診断レポートを見比べた結果、遜色なかったので検知能力に関しても信頼できると判断しました。

更に、スリーシェイクさんは体制やルールなどが整っていて今後長きに渡りお付き合いができそうという点で、安心感がありました。社内の契約部署とのやりとりがスムーズだったことも助かりました。
そういった点も含めSecurifyが1番良かったですね。

――実際に導入してみて、Securifyの使い勝手はいかがですか？感想を教えてください。

　橘：設定はヘルプセンターページを見ながら順調に進めることができました。操作そのものも難しくなく、診断に至るまでの工程では1人で完了できました。初期設定は私で対応しましたが、現在は若手メンバーが診断を行ってくれています。

主に、アプリケーション開発プロジェクト内の検証環境に対し、セキュリティチェックといった位置付けで利用しています。

実際に使った感想としては、日本語で診断結果が出力されるので、開発担当へのフィードバックをとてもスムーズに行うことができました。また、スケジュール機能を利用し定期的に診断を行うことでの保守や、CI/CDと連動した形でのDevSecOpsの実現によりサービスが広がるのではないかと感じてます。

検知可能な脆弱性の種類がかなり多いことにも安心感があります。そして、操作が本当に簡単なため、基本的な操作方法は開発・保守担当にも引継ぎ可能であることがとても良いと思いました。

今後も新機能を追加予定と聞いています。我々のビジネスモデルとしてもサービスが広くあればあるほどそのライセンスを多岐に使えるため、顧客に対しメリットを提示しやすいんです。当初の目的にマッチした商品だと思います。

――嬉しいお言葉をありがとうございます。Securifyの導入により、どのような効果を得られましたか？

　橘：Securifyでの診断により、2種類の脆弱性を検知しました。
うち1つは、アプリケーションで利用しているライブラリが開発中にバージョンアップしていたため、リリース時点でライブラリのバージョンが上がっており、最新でないというもの。もう1つは、Webページの実装に関する問題についての指摘でした。

開発担当へはフィードバックを行い、すべて対応をしたうえで再度Securifyによる検査を実施、問題が解消していることを確認しました。

おかげ様で、改修後に無事リリースを迎えることができました。

――Securifyがお役に立てて良かったです！安樂さん、橘さん、本日はありがとうございました。引き続き、Securifyをよろしくお願いいたします！

導入０円、ワンストップで実現するセキュリティ対策「Securify」