銀行向けサービスへ導入！診断までにかかるリードタイムを短縮し、効率的かつ定期的なセキュリティ対策を実現。

導入企業紹介

株式会社インテックは、TISインテックグループの大手システムインテグレーターです。

ICT技術の研究・開発からアウトソーシングまでの一貫した「ビジネス領域」をトータルソリューションとして提供しています。また、様々な分野でICT技術を応用した独自のサービスを提供し、お客様の事業展開を支えるとともに、豊かな生活とスマートコミュニティ作りを目指しています。

今回は、銀行システムにSecurifyのWebアプリケーション脆弱性診断を実施いただいた背景を、金融プラットフォームサービス部の課長、三坂 将岐（みさか まさき）様にお話を伺いました。

課題と効果

課　題

• 銀行向けサービスのセキュリティ対策のため、より効率的で定期的な診断を探していた。

効　果

• 脆弱性診断実施までにかかる期間を、3週間→ツールによる定期スケジュール診断により0へ。

――はじめに、御社の事業内容を教えてください。

我々の部署では、地方金融機関向けのクラウドサービスの運用と保守を行なっています。

現在、約40の銀行が当社のサービスを利用しており、地方金融機関向けに広く展開しております。当初、自社データセンターでサービスを提供していましたが、最近ではAWSなどのクラウドプラットフォームとも連携し、銀行の一部のメニューをインターネットを介して公開する取り組みも行っています。

――主にどのようなサービスがございますか？

主力サービスは「F³（エフキューブ）」というCRM（Customer Relationship Management）クラウドサービスです。このサービスは、昔からオンプレミスで提供され、多くの銀行で長年にわたり利用されてきました。約10年前に、クラウド版を提供開始し、それが金融プラットフォームサービス部の主力サービスとなりました。

現在では、F³（エフキューブ）クラウドサービスを中心に、さまざまな派生サービスを開発し、幅広い領域へ展開しています。

――三坂さんご自身はどのような業務を担当していますか？

主にサービスの運用と保守に関わっています。

サービスは朝8時から夜20時まで稼働しており、銀行からの問い合わせや、サービス運用にも対応しています。

また、セキュリティ対応も私たちの仕事の一部です。セキュリティの観点から、パッチ適用や、必要に応じて修正を行います。開発自体は別の部門が担当しており、彼らに必要な依頼することもあります。

総じて言えば、主要な業務はサービスの運用から顧客へのサポートまで、サービスの全体的な管理とお客様のサポートです。

――今回、Securifyで診断したWebアプリケーションの概要を教えてください。

2つあります。両方とも銀行で使用いただいているサービスです

• ローン申請の受付窓口

• 受付後の審査状況の管理を担うクラウドサービス
  

――セキュリティ対策について、今まではどのように取り組んでいましたか？

これまでも、AWS Inspectorを使用したセキュリティ評価や、対WebアプリケーションにはOwasp ZAPといったツールを使用していました。

ただ、これらは手動で設定と実行を行う必要があり、実施までに手間がかかっていました。

しかし、今回Securifyを導入したことで、その3週間分の手間が大幅に削減されました。
脆弱性診断の手続きが簡素化され、効率的に実行できるようになったことは、非常に大きな進歩だと感じています。

――確かに、それは大きな効率化になりましたね！今回、数ある脆弱性診断ツールの中から、Securifyを導入いただいた経緯を教えてください。

元々、スリーシェイクさんとはセキュリティの事業部ではなく、SRE（サイト信頼性エンジニアリング）専門のSreake事業部で、インテックのプロジェクトに入っていただいていたご縁がありました。

その関わりの中で、セキュリティ診断もやっているという噂を聞いて、一度話を聞いてみようとなったのが始まりです。当時、先述したサービスに対するセキュリティ対策を探していたんですよね。

――導入を決断いただいた理由は何ですか？

世の中では新たな脆弱性が頻繁に発生しており、より迅速な対応が求められています。そのため、すぐに診断を実施できる柔軟性が必要でした。その点を叶えられたのが大きな理由です。

最低月に1回の診断を行うことで、もしも致命的な脆弱性が急に発覚した際にも素早く対応できるようにしたかったのです。世間で新たな脆弱性や大規模なインシデントが発見されると、銀行のお客様からの問い合わせが増えることもありました。

そのため、セキュリティ診断を手配するのにかかる時間を削減したかったんです。

Securifyを導入することで、いつでも必要なタイミングで脆弱性診断を実施でき、効率的に対策を取ることができるようになった点が、一番ありがたいですね。

――申し込みから診断開始までは滞りなく進みましたか？

はい。設定周りはスリーシェイクさんの方でフォローいただきながら進められたので、実際に契約してからは何も困ることなく運用できています。

――実際に導入してみて、Securifyの使い勝手はいかがですか？感想を教えてください。

現在は、サービスの運用を担当しているメンバーが設定をして、定期的に診断を行なっています。

弊社では社内コミュニケーションにTeamsを使用しているので、そこへ診断結果を連携できる点が便利だなと感じています。結果が自動で飛んでくるので、出勤して届いていたらチェックする、という習慣になりました。今は月に1回の定期診断予約を実施しています。

幸いなことに、改修が必要な脆弱性は検知されませんでした。ただ、もし今後発見された場合もTeamsですぐに連携ができるので、開発メンバーへ依頼することが容易だと考えています。

そこのスピード感も担保できますね。

同一のドメイン配下に複数の機能が配置されているWebアプリケーションのため、1ドメイン分の価格で全機能を診断できたことが助かりました。他社サービスだと機能毎に課金されるものもあるので、その点が良心的だと感じました。

――Securifyを使った今後の展望などがあればお聞かせください。

そうですね。3ドメイン利用できるプランで契約していて、まだ2つしか利用していないのですが、今後また新しくWebに公開するサービスも出てくると思います。

その時にもぜひSecurifyを使用しながら、サービスのセキュリティ面を強化していきたいと考えています。

――ぜひ今後もご活用ください。三坂さん、本日はありがとうございました！

導入０円、ワンストップで実現するセキュリティ対策「Securify」