社内で脆弱性診断をハンドリングすることにより、 コスト削減とクライアント要望に迅速に対応できる体制を構築

導入企業紹介

株式会社エヌエルプラスは、WEBサービスに関する企画開発や運営支援事業を始め、ビジネスプロセスやバックオフィスのサポートなど様々な事業を展開しております。

企業様に向けて「コンサルティング」「開発」「運用」を備え、包括的なサポートを行なっています。創業以来培ってきた運用知見を生かして、開発段階から運用しやすい設計を行い、運用しながら効果検証・改善を重ねることで、お客さまと共にさらなる発展を目指しています。

今回、脆弱性診断のためにSecurifyを導入いただいた背景や使ってみての感想を、事業開発室室長の川畑 文樹（かわばた ふみき）さんに伺いました。

課題と効果

課　題

• クライアントから、自社サイトの保守・運用に対し「定期的に脆弱性診断結果のレポートを提出して欲しい」との依頼をいただいたがどう対応すべきか悩んでいた。

効　果

• 社内で診断をハンドリングすることができるようになった。
• 外部に委託することなくクライアントの要望に迅速に対応できるようになった。
• コスト削減を実現した。

――はじめに、御社の事業内容を教えてください。

弊社はBtoBをメインとした、システムコンサルティングから開発、運用までを包括して支援している企業です。

福岡には、24時間、365日稼働のBPO（ビジネス・プロセス・アウトソーシング）専門センターがあり、開発後の保守やサポートを含む支援体制が充実しています。単純な開発で終わるのではなく、運用まで伴走したサポートが叶うことを強みとしています。

――川畑さんご自身はどのような業務を担当していますか？

事業推進本部配下にある事業開発室室長を担当しています。

エンジニア対応が必要な開発案件を受注したらまず相談される部署です。そこで、主に開発案件に関するマネジメントを行なっています。自分自身でエンジニア業務を行うこともあります。

――セキュリティ対策について、御社ではどのように取り組んでいますか？

弊社の案件はクライアントワーク、つまりクライアントのWebアプリケーションをお預かりして運用することが多く、当然セキュリティについては大前提、必要なものとして提案させていただいております。しかし、正直なところクライアントによって意識の高低は様々で、顧客意識に依存しているという現状も事実です。

元々、セキュリティ対応に関して、自社内で行うケースもあるくらいにはセキュリティに詳しい者や脆弱性診断の必要性は社内理解が進んでいました。しかし、工数の問題により最近では外部発注を進めながら、顧客ニーズに応えていました。

――今回、Securify で診断したWebアプリケーションの概要を教えてください。

外国人観光客向けのグルメ情報Webサイトです。

――数ある脆弱性診断ツールの中から、Securify を導入いただいた経緯を教えてください。

近年、セキュリティ意識の高いクライアントも増えてきており、定期的にサイトの脆弱性診断レポートを提出して欲しいという要望をいただきました。

それまで外注していた脆弱性診断について、価格や契約内容を考えると、社内でコントロールしながら必要な時に診断を実施できるツールに切り替えた方が良いんじゃないかという声が、開発メンバーの中からもあがるようになりました。

――当初、Securifyがβ版だった時にお試しいただき、正式リリース後もご契約いただいたご縁がありました。導入を決断いただいた理由は何ですか？

複数の脆弱性診断ツールの中からSecurifyを選んだ理由は、まず、チームメンバーにとって非常に分かりやすそうだったからです。私自身はエンジニアでツールの導入には慣れていますが、他のチームメンバーにも利用してもらうことを考えると、ユーザーフレンドリーなツールが必要でした。Securifyはその点で一番使いやすいと感じました。

また、Securifyを選んだもうひとつの理由は、クライアントの要望に合致する製品であったことです。クライアントからの期待に応えるために、適切なツールを選ぶことが我々にとっては非常に重要でした。

さらに、将来的に社内の他のプロジェクトにも活用できそうなポテンシャルを持っていたため、長期的な視点からも導入を決意しました。

――実際に導入してみて、Securifyの使い勝手はいかがですか？感想を教えてください。

現在、主に私がSecurifyを使用し、診断結果を保守チームに提供しています。診断は約3ヶ月ごとに実施しています。

申し込みから導入までの流れもスムーズで、カスタマーサポートと詳細なコミュニケーションをとり、不明点はメールで確認しながら進めることができました。

脆弱性診断ツールは、かなり専門性の高いツールという印象を持っていましたが、使いやすいUIとわかりやすい機能で、導入のハードルは低いと感じました。ライトに診断を始めるには非常に有効なツールだと感じました。

また、導入後にリリースされた新機能「特定のパスを除外する」が追加されてからは診断時間が短縮され、助かりました。

――ありがとうございます。エンジニアチームが手厚く、リリース頻度が高いところもSecurifyが好評いただいている点のひとつです。

そうですね。そこは楽しみにしています。

ただ、社内展開の時に内容を調べて共有することが少し面倒だと感じることもあるので、新機能内容と運用方法などが分かりやすくシステム内で明示されていると助かるなと感じました。

――なるほど。貴重なご意見をありがとうございます。社内にも共有させていただきます。Securifyの導入により、どのような効果を得られましたか？

実際に診断をしたところ、いくつかの脆弱性が発見されたので、レポートを社内のエンジニアへ共有し修正作業を依頼しました。

これにより、迅速にクライアントの要望に応えることができ、それに伴いコストも削減できました。

外部に依頼していた時は、こちらで段取りやスケジュールを慎重に行う必要がありました。ツールを使う利点のひとつはスケジュールに柔軟に対応できることで、この柔軟性がプロジェクト全体に大いに役立ちました。

今回、ツール診断を行ってみて、開発フェーズのセキュリティチェックの中にSecurifyを選択肢として入れておくと便利なことを実感しました。

――嬉しいお言葉をありがとうございます。引き続きサービス向上に励んでまいります。川畑さん、本日はありがとうございました！

自動脆弱性診断サービス「Securify」に関するお問い合わせ

サービス詳細や料金についてのご質問・ご相談などお気軽にお問い合わせください