最適なバランスでセキュリティを確保する
~「手動診断」と「自動診断」のハイブリッド活用事例~

導入企業紹介

LRM株式会社は、情報セキュリティと業務効率を両⽴する「Security Diet」を理念に掲げ、情報セキュリティコンサルティング事業及び情報セキュリティSaaS事業を展開するIT企業です。情報セキュリティ教育クラウドの「セキュリオ」は導入企業が1,300社を超え、約12万ユーザーが利用しています。

セキュリオの新機能リリースや改修を毎週のように行う中、開発に合わせて脆弱性診断を実施するために、自動脆弱性診断ツール「Securify」を導入。定期的な「手動診断」と継続的な「自動診断」のハイブリッドな運用により、最適なバランスでセキュリティを確保できるようになりました。

Securifyを導入した感想や今後の取り組みなどについて、LRM株式会社 セキュリオ部 開発チーム マネージャーの蛭田 伸行(ひるた のぶゆき)さんにお話を伺いました。

課題と効果

課 題

  • 自社開発のサービスについて新機能のリリースや改修を頻繁に行う中、開発に合わせて脆弱性診断を受ける必要性が高まっていた。以前から手動の脆弱性診断を受けていたが、期間・コストの負担が大きく高頻度の利用はできないことが課題になっていた。
右矢印 下矢印

効 果

  • 定期的な「手動診断」と継続的な「自動診断」をハイブリッドに運用し、自社に最適なバランスでセキュリティを確保できるようになった
  • 毎週のように脆弱性診断を実施できるため、顧客に提供する安心のレベルが向上した
  • 推奨事項として検出される作業をタスク化しやすくなり、エンジニアの意識も高まった

 


――はじめに、御社の事業内容を教えてください。

当社は、主に2つの事業を柱としています。
「情報セキュリティコンサルティング事業」では、ISMS/ISO27001の認証取得をはじめとするコンサルティングサービスを提供し、累計2,300社を超えるお客様にご利用いただいています。
もう一つは「情報セキュリティSaaS事業」で、特に注力しているのが情報セキュリティ教育クラウドサービス「セキュリオ」です。セキュリオは自社で開発しているサービスで、導入社数は1,300社超、ユーザー数は約12万人に上ります。

――蛭田さんご自身はどのような業務を担当していますか?

セキュリオの開発チームのマネジメントを担当しています。一般的にはラインマネージャーと呼ばれるポジションです。加えて、自分自身もエンジニアとして、インフラ部分などシステムの環境整備も担っています。

――セキュリティ対策について、御社ではどのように取り組んでいますか?

アプリケーションレイヤーについて、社内での教育コードレビューを行うなどセキュアコーディングに取り組んでいます。また、当社ではリポジトリ管理にGitHubを利用しており、セキュリティの機能であるGitHub Dependabotを活用しています。
インフラレイヤーについては、AWS(Amazon Web Services)のベストプラクティスを意識した構成を心がけ、AWS Well-Architected Toolによる自己分析を行っています。
実際の攻撃への防御としては、WAF(Web Application Firewall)を導入して対応しています。

――このたび「セキュリオ」に自動脆弱性診断ツール「Securify」を導入いただきました。
  導入前にどのようなセキュリティ上の課題がありましたか?

セキュリオはセキュリティを扱うサービスです。2021年にスリーシェイクのSreake Security(現Securify脆弱性診断サービス)を利用して手動の脆弱性診断を受けましたが、その後も定期的に診断を受ける必要があると認識していました。
しかし、現在は新しい機能を次々にリリースしていくフェーズであり、機能のリリースやそれに伴う改修が頻繁にあります。脆弱性診断を行なう対象がどんどん増え、それに伴って診断にかかる期間とコストも膨大になることが課題になっていました。

――Securifyを導入した経緯・理由を教えてください。

2021年に受けた手動診断がとても頼りになる内容だったので、ぜひまたスリーシェイクに脆弱性診断をお願いしたいと考えていました。ただ、何とかしてコストを抑えたいと悩んでいて……。その時に、スリーシェイクの担当者から「既存のコードについてはSecurifyを導入してみませんか」と提案がありました。Securifyの自動診断ならコストを圧縮でき、かつ、必要な都度自分達でチェックできる。「コストと対策のバランスが良いプランだな」と思い、導入することにしました。

他社の脆弱性診断サービスには診断回数に応じて課金されるものがありますが、Securifyは回数に制限なく診断できます。リリースのタイミングに合わせて何度でも診断を行えることも魅力に感じました。

Securifyなら「診断コストを圧縮できる」「必要な都度自分達でチェックできる」と導入を決めた蛭田さん

――実際に導入してみて、Securifyの使い勝手はいかがですか?

検証環境の準備を始めてから約2週間で診断を開始できました。効果的な診断・検証をするための環境の準備に若干時間がかかりましたが、Securify自体の設定はスムーズでした。
現在は、検証環境へのリリースの日程に合わせて、ほぼ毎週のように診断を実行しています。難しい操作は不要なので使いやすいです。

――御社では誰が・どのようにSecurifyを利用していますか?

私が一人で診断の設定や操作をしています。新機能を検証環境にリリースするタイミングが大体決まっているので、それに合わせてSecurify上で予めスケジュールを組み、自動で診断が行われるよう設定しています。
診断結果を確認し、特に問題がなければそのまま終了です。何かしらの脆弱性が見つかった場合は、その内容を精査して、必要に応じて開発エンジニアに対応を依頼するという形で運用しています。

――Securify による自動診断の結果、脆弱性は見つかりましたか?

これまでのところ脆弱性は見つかっていませんが、推奨事項としてJavaScriptライブラリのバージョン更新について検出・提案されました。検出された時にタスク化して、担当エンジニアを決めて速やかに対応しました。

検出された内容はある程度想定していたものでした。「新しいライブラリが出ているし、更新しないといけないな」と頭では分かっていた。つい後回しにしがちですが、こういったツールで明確に指摘してくれるとタスク化しやすいですね。「毎回アラートが出ているんだから対処しよう」と周りのエンジニアに言いやすいし、気を引き締めることにもつながっていると思います。アラートの対象から除外する機能もありますが、明確な理由があるもの以外は今後もしっかり対応していきます。

――Securify の導入により、どのような効果を得られましたか?

常にチェックできている安心感があります。手動診断を担当したスリーシェイクのエンジニアのスキルが非常に高かったので、それが自動診断を利用する上でも信頼性の担保になっています。スキルがあるからこそ、脆弱性を見つけるロジックも考えられると思うので。

セキュリオを利用するお客様から、脆弱性診断サービスの内容や診断の頻度を聞かれる機会が少なからずあります。手動の脆弱性診断を定期的に受ける予定ですが、一年間に何回も行うことは難しいです。自動診断は全体を網羅できる訳ではありませんが、部分的にでも毎週のように診断を行うことで、より一層お客様に対して安心を提供できると考えています。

――御社はSecurify の販売代理業務も行っていますが、自社自身が使ってみて、どのような組織や課題に合っていると考えますか?

私自身は販売の担当ではありませんが、当社がお客様にSecurify を紹介するに当たり、まずは自分達が使ってサービス内容を把握しようという意識を強く持っています。

実際に使ってみてSecurify が合っていると思うのは、当社と同じくセキュリティ専門のエンジニアがいない中でサービスを自社開発している企業や、サービスが成長段階にある企業ですね。成長する中で求められるセキュリティ対策のレベルが上がっていきますし、次々に行われる開発に合わせて診断を行う必要があるので。こうした企業にとって、Securify の自動脆弱性診断を利用することはすごく好ましいと思います。

――今後どのようにSecurifyを活用していくか、展望をお聞かせください。

現在は主に参照系の診断にSecurifyを活用していますが、今後は更新系もどんどん診断していこうと考えています。
手動診断についても定期的に利用し、それにプラスしてSecurifyで継続的に安全性を確認していきます。

――手動診断と自動診断の両方をハイブリッドで利用していく方針なのですね。

はい。大きな機能の新規リリースや仕様が大きく変わる改修については、今後もビジネスレベルでの診断が必要になると考えています。その際はまたスリーシェイクに手動診断をお願いする可能性が高いです。
リリースごとに手動の脆弱性診断を受けることが理想ですが、毎週のように何百万円も支出することは難しいし、診断している間は次の更新ができない問題も生じます。
定期的に手動診断を受けつつ、細かなコードの改修については自動診断でカバーしていくことが最適だと考えています。

――最後に、スリーシェイクやSecurifyに今後期待することがあればお聞かせください。

今後、自動診断の精度が更に向上していくことを期待しています。
また、診断の各種チューニング項目を充実してもらえたら嬉しいです。色々と切り取って診断したり、特に注力したい診断箇所を指定したりできると、診断の幅が広がっていいなと思います。

――貴重なご意見をありがとうございます。引き続きサービス向上に励んでまいります。
  蛭田さん、本日はありがとうございました!

written by 三谷 恵里佳

 


 

自動脆弱性診断サービス「Securify」に関するお問い合わせ

サービス詳細や料金についてのご質問・ご相談などお気軽にお問い合わせください

LRM株式会社

LRM株式会社

LRM株式会社は、情報セキュリティと業務効率を両⽴する「Security Diet」を理念に掲げ、情報セキュリティコンサルティング事業及び情報セキュリティSaaS事業を展開するIT企業です。情報セキュリティ教育クラウドの「セキュリオ」は導入企業が1,300社を超え、約12万ユーザーが利用しています。

導入事例一覧へ戻る

貴社の利用状況に合わせた見積もりを作成します。

料金プランを詳しく見る