株式会社HANATOUR JAPAN様
「旅行商材販売サイト」×「運用工数削減」で選ぶセキュリティ対策とは
導入企業紹介
世界のお客様の心に残る旅を。
株式会社HANATOUR JAPANは、韓国の大手旅行会社であるハナツアーの日本法人です。
韓国だけにとどまらず、アジア、欧州、中東向けのインバウンド観光ツアーを企画・販売していらっしゃいます。
コロナ禍が明け加速するインバウンド事業において、Webアプリケーションのセキュリティ対策にSecurify(セキュリファイ)を導入された経緯をIT企画部長の生駒 信二(いこま しんじ)さんにお伺いしました。
診断サービス
- Webアプリケーション診断
課題と効果
課 題
- BtoBtoC(Business to Business to Consumer)サイト運営において機能追加・リリースなどに伴うセキュリティテストが開発速度に追いつかない状況が発生していた。
- 改修をベトナムで実施しており、ベトナムと日本で同時に使えるサービスやツールを探していた。
効 果
- 本番環境に載せる前にセキュリティ診断ができることで、リリース前に対策を講じることが可能となった。
- SaaSであるため、日本とベトナム双方から利用でき、脆弱性診断とその後の改修のタイムラグをより短く、効率化することを実現した。
インバウンドの急速需要と対応しきれていないセキュリティ課題
――はじめに、御社の事業内容を教えてください。
当社は、訪日観光客向けインバウンド商品の各種手配業務や、法人・個人旅行客向けの旅行商品販売サイトの運営などを中心としたインバウンド事業を展開しております。
日本人旅行客のユーザーはほとんどおらず、海外のお客様をターゲットとしたサービスです。
HANATOUR JAPANグループ社のすべてのインフラ、バス事業(友愛観光バス)、ホテル事業(アレグロクスTMホテルマネジメント)を活用し、日本全国の交通手段・宿泊・ショッピング・レジャー・観光など日本の旅行すべてをサポートするオールジャパンを世界に発信しております。
――生駒さんご自身はどのような業務を担当していますか?
私含め5名が在籍しているIT企画の部長として、システムの企画、運営を担当しています。
IT企画は、社内のDX推進や仕組み化を目的としツール選定し、適したツールがない場合は社内で作ることを企画している部署です。導入後の運営は、システムチームと、子会社であるベトナムの開発チームへ任せています。
――セキュリティに関する知見やスキルはお持ちでしたか?
以前の会社でインフラエンジニアやヘルプデスク業務を行っていた経験はありますが、セキュリティに関しての専門知識はあまりありません。社内に開発チームはありますが、セキュリティの専門家がいるかと問われると、知見のある人がいるというくらいです。だからこそ、そのような人でも使いこなせるツールを探していたんです。
――今回、Securifyで診断したWebアプリケーションの概要を教えてください。
旅行商材販売サイト『Gorilla』です。
『Gorilla』は、個人旅行(FIT:Foreign Independent Tour)をターゲットにした、海外の旅行代理店向けのOTA(Online Travel Agent)サイトです。以前に運営していたホテル予約販売サイトとチケット販売サイトを一つに集約して誕生しました。
旅行客が直接利用するのではなく、海外の旅行代理店が旅行客のために『Gorilla』を利用(API連携)し、予約を取る仕組みになっています。つまり、BtoBtoCのサイトです。
弊社はコロナ後、2024年の1月、2月、3月に過去最高益を記録しました。しかし、従業員数は当時と比べ約38%減少しています。それは、システムを強化したことにより業務効率化が成功している証だと思うんですよね。
人があまり残業しなくてもいいような仕組みづくりは代表が率先して提唱しています。このタイミングに、システム強化の一貫としてセキュリティ面も強くしていこうという話があがったんです。
現在は『Gorilla』のみ、診断を行っていますが、Securifyの使い勝手が分かり、今後はグループ会社のサービスについても診断していこうという話が出ています。
――セキュリティツール導入に動き出した背景はどのようなことがありましたか?
システム開発は、主にベンダーへ委託し、その後、システム保守・改修などは、子会社である、HJSV(HANATOUR SYSTEM VIETNAM)へ委託していました。
旅行業界が大きな打撃を受けていたコロナ禍、実際に弊社へ外部から不正アクセスを試みた形跡が見られました。形跡を発見しただけで直接的な被害はありませんでしたが、それに加え、2019年に『Gorilla』が、リリースされ約5年。日々機能追加やプログラム改修をしていることもあり、脆弱性が存在するリスクが増えてくる懸念がありました。
さらに、2023年頃から円安の影響により、海外から日本への旅行需要が増加したこともあり、セキュリティ面を改めて見直すことになりました。
専任担当者がいない中でのツール運用…それを容易にしたSecurifyのポイント
――数ある脆弱性診断ツールの中から、Securifyを導入いただいた経緯を教えてください。
セキュリティの専門知識を有した人材がいない中で、診断、実施、管理できるサービスやツール導入が必要だったことが、第一にして最大の壁でした。
危機感は持っていたのですが、何が一番自社に適しているのか分からないまま、ワンショットの手動セキュリティ診断を主軸に検討しました。しかし、それらのほとんどが高額で、諦めかけていたんです。その時、偶然知り合いがスリーシェイクさんのSreake事業部で働いており、その縁でSecurifyを紹介してもらいました。
私も昔から技術に携わってきた人間なので、セキュリティツールの扱いは難しいという潜在意識があり、弊社のようなセキュリティ担当者がいない会社であれば手動診断で年に1回程度を行っていくのが主流なのかなと考えていたんです。
ところが、Securifyは診断無制限なんですと説明された時に「え、そんなのあるの?」ってビックリして…そこからツールをいくつか調べ始めました。
――その中で、導入を決断いただいた理由は何ですか?
自力で検索した約4つの他社製品と比較していたのですが、複雑な契約周りのやり取りが必要だったり、製品の中身まで教えてくれなかったり、なかなかその概要を理解しきること自体が難しいものもありました。
Securifyは対応も早く、デモ画面の開示があったため画面の動きが理解できましたし、料金設定も明瞭だったため、検討材料が多いという印象でした。
すぐに同じチームのメンバーに話したら、「これなら全然分かりやすいし、良いんじゃない」という話になりました。上層部へは15,16ページの資料を作ってプレゼンしたところ、理解してもらえました。上層部もIT領域に明るい訳ではないのですが、過去の経験上絵で説明することが効果的だと感じています。
一番の決め手は、セキュリティのスペシャリストがいる訳ではない環境でも、検知された脆弱性の背景、詳細、修正方法が明確に表示されるので開発側と連携しやすいという点でした。
現在、ベトナムの開発者への連携については、現地の開発メンバーをSecurifyに追加して診断結果を閲覧できるようにしています。Securifyの診断結果は日本語で出力されますが、機械翻訳サービスDeepLを使うことで言語の壁を越えられるようになりました。
――導入まではスムーズでしたか?
初期設定に関しては、別のメンバーが対応してくれたのですが、1人で完結していましたね。
一部確認の問い合わせをメールでさせてもらったのですが、すぐに返信が来たので短期的に診断開始まで進むことができました。
――実際に導入してみて、Securifyの使い勝手はいかがですか?感想を教えてください。
ベトナムにいる開発チームが意欲的に使用してくれています。自分たちが運用している仕組みの中に脆弱性が検知されるかという点に対し、シビアな考えを持っているのです。
Securifyは日本語での画面表示なのですが、開発チームからChromeブラウザに搭載されている翻訳機能を利用することにより多言語表記へ変更できるという提案をもらいました。診断結果レポートについても難しいと考えていましたが、画面表示と同様に翻訳が可能でした。その使い方は我々も目から鱗でした。完璧な翻訳レベルではなくとも、別途翻訳する工程を削減でき、実際に中身を理解してもらいながら活用できています。
診断自体は完全にシステムチームの方に任せているので、そこの責任者が主に対応しています。
初期設定完了後は、工数がほとんどかからないことに驚いています。運用ルールやスケジュールを決めてしまえばベトナムのチームへ渡せる状態なのは本当に助かっています。
一部、ネットワークや環境の状況によりスコアの揺らぎが見られますが、あくまでツールということは理解しています。結果を100%信用するのではなく、補足ツールとしてまずは使っていく方向で考えています。
新たなフローの確立 意識革命へ
――Securifyの導入により、どのような効果を得られましたか?
Gorilla自体はスクラッチで開発したシステムなので、日々バグ修正や機能追加が発生し、週に1回ほどの頻度で改修リリースを行っています。以前は改修後、そのままリリースしていましたが、導入後は本番環境に載せる前にセキュリティ診断ができるようになりました。これにより、リリース前に対策を講じることが可能となったことに効果を感じています。
ベトナム側のチームとともにセキュリティ意識を高め、「問題ないね、これでリリースしよう」というフローが確立できたと感じています。
ベトナム側に大部分を任せているものの、彼らもセキュリティ意識を持ち、一定の基準に達していればリリースする、問題があればリリースを延期するという対応を取っています。これにより、セキュリティ意識が高まり、意識改革が進んでいると感じています。
――最後に、スリーシェイクやSecurifyに今後期待することがあればお聞かせください。
セキュリティ対策には、通常であれば多くの工数と費用をかける必要がありますが、現状を知り、取り組むべき対策の可視化がSecurify一つでできることは非常に助かります。
今年は、別システムにおいてもSecurifyを利用するつもりです。
市場も今までにない迅速な対応が求められており、今後もスピード感をもった対策ツールの提供を期待したいです。
――ありがとうございます!今後もぜひSecurifyをご活用ください。本日はありがとうございました!
導入0円、ワンストップで実現するセキュリティ対策「Securify」
世界のお客様の心に残る旅を。 株式会社HANATOUR JAPANは、韓国の大手旅行会社であるハナツアーの日本法人です。 韓国だけにとどまらず、アジア、欧州、中東向けのインバウンド観光ツアーを企画・販売しています。