導入事例エコモット株式会社様

札幌に本拠地を構えるエコモット株式会社は2007年から他社に先駆けてIoT事業を開始し、IoTソリューションの提供を通じて社会問題の解決を目指しているリーディングカンパニー。2017年に東証マザーズに上場した同社は、IoTに必要なすべての要素をワンストップで提供できる「IoTインテグレーションサービス」と特定の業務に特化した「IoTパッケージサービス」の２つを手がけるIoT専業プロバイダーとして確固たる地位を築いている。

今回はVAddy Platinum+プラン（※終了）にて手動脆弱性診断を提供している株式会社SHIFT SECURITYの松野氏とともにVAddy導入の成果や手動診断での感想などをお聞きした。

脆弱性診断実施の有無についての問い合わせが急増

VAddyを検討する直接的なきっかけは、弊社サービスを検討いただいているお客様から脆弱性診断についてのお問い合わせが増えてきたことです。近年では情報セキュリティに対する意識が高い企業様が増えてきたからだと思うのですが、クラウドサービスの導入検討にあたり、サービス提供企業が組織的な対策も含めて適切に情報を取り扱っているかを事前に確認する企業様が急増している印象があります。お客様からの問い合わせの様式はさまざまですが、いずれの場合でも「Webアプリケーション脆弱性診断の実施の有無」というチェック項目が含まれています。弊社はこれまでも自社の基準で脆弱性対策は行っていましたが、客観的な方法で診断を実施したほうが納得いただけるのではないかと考えるようになりました。

弊社は自社サービスを数多く提供しているので一つ一つを専門家に依頼するやり方は時間的にもコスト的にも現実的ではありません。そこで、客観性がありなおかつ開発メンバーの負担が少ないやり方を模索する中でVAddyに出会いました。VAddyのように開発のスピードを損なわず、開発チームの負担にならないツールはあまり無かったと思います。特にクラウド型の診断ツールは他には見つけられませんでした。

お客様によっては「第三者による脆弱性診断の実施」を要求されることもありますが、VAddyを使った自社内での検査は厳密な意味では「第三者による脆弱性診断」には当たりません。しかしながら、VAddyが出力する検査結果レポートに掲載されている内容は弊社の意志とは関係なく事実であることは間違い無いですし、お客様もセキュリティ対策に無制限のコストと工数をかけることを望んでいらっしゃるわけではありません。

弊社としてはVAddyでの検査を一つの基準と考えているので、お客様がそれ以上を望まれるのであれば、個別に話し合って着地点を見つけるようにします。そこは説明の仕方次第だと思いますし、検査結果のURLのリストやアプリケーションの仕様などを丁寧に説明すれば大方は問題ありません。自社が利用するWebサービスのセキュリティ対策をお客様が意識することは業界全体の逆らえない流れですし、弊社としては非常に良いことだと思います。

VAddyで「面」をカバーしつつ、ここぞという箇所は手動診断で

VAddyで既に検査を実施しているサービスやアプリケーションの中には、機械的には発見しづらい脆弱性についての診断も実施したいところがあったので、そこはPlatinum+プランの手動脆弱性診断を依頼しました。VAddyで全体の「面」をカバーしつつ、ここぞというところは専門家の手による手動脆弱性診断をかけるという使い分けをしています。Platinum+プランはツールと手動脆弱性診断がセットになっているので、そうした場合でも契約先を分ける必要がなく、業務面の一本化ができるのも良いですね。

以前に他社で手動脆弱性診断を依頼したことがあるのですが、その時は診断実施前のコミュニケーションが多かった記憶があります。たとえばどのURLを診断するかとか、アプリケーションの仕様についての説明とか。今回お願いしたSHIFT SECURITYさんの場合、そうした事前のやりとりが非常に少なく、2〜3回メールのやりとりをしただけで診断を開始していただけたので大変助かりました。
年末の繁忙期の急な依頼にもかかわらず、スケジュール通りにやりきっていただけたのも本当にありがたかったですね。もちろん診断結果にも満足しています。

（SHIFT SECURITY 松野氏）
SHIFT SECURITYはお客様の負荷を軽減するために、ヒアリングなどの事前のフローを最小限にできるような仕組みを準備しています。また、セキュリティエンジニア（診断員）のスキルのばらつきを無くすための「標準化」という取り組みにも力を入れることで診断開始までの待ち時間ゼロを目指しています。
年末や年度末は脆弱性診断業界の繁忙期なので、他社では数週間待ちというケースもあるようですが、弊社ではそうした時期でもすぐに対応できる体制を準備しています。

他にも、VAddyで発見された脆弱性の修正方法について相談する窓口があるのも助かります。全てのプログラマーがセキュリティに強いとは限らないので「本当にこの直し方で良いのかな」という不安は残ることもあります。例えば弁護士や税理士の顧問契約のように、何かあった時に頼る先があるというのは嬉しいですね。

ただ、Platinum+プランで対応可能な範囲が「50リクエスト」というのは少ない印象はありますね。診断対象を適切に選ぶことで50リクエスト以内に収めることもできますが、画面数の多いアプリケーションだと検査対象を50リクエストに絞り込む工数がかかってしまいます。脆弱性診断を依頼する担当者がアプリケーションの仕様に詳しくない場合もあるので、例えばひとまず全てを診断会社にお渡しして、診断会社側で重要な箇所をピックアップしていただくというやり方も良いかもしれません。脆弱性診断を依頼した経験が無い担当者だと、何を基準に選んで良いか分からないこともありますし。

（SHIFT SECURITY 松野氏）
手動脆弱性診断の対象リクエスト数の扱いについては現在検討中です。お客様のニーズにより柔軟に対応できるようなメニューをビットフォレストさんと考えています。

VAddy導入によって変わった開発チームの会話

現時点では10人くらいの開発者でVAddyを利用しています。VAddyの使い方を把握したメンバーが一時間程度の社内勉強会で他のメンバーに情報を共有し、そこから先はメンバー同士で相談しながら運用を回すようになってくれました。
開発チームがVAddyを使うようになってから、開発チームの会話の内容も変わってきた印象があります。若いエンジニアの中にはWebアプリケーションの脆弱性について詳しくない人間もいたのですが、VAddyを使い始めてからは当たり前のように脆弱性に関する言葉が飛び交うようになっています。

ちょうどVAddyを導入する直前の2018年秋にはWebセキュリティの社内勉強会を開催したので、勉強会で理屈として学んだことと実際に手を動かすこと（VAddyで検査すること）との相乗効果が起きていて、うまくボトムアップができているなと感じています。

さらに、過去にVAddyで検出された脆弱性について全員でレビューをする機会も設けています。脆弱性の修正方法についてメンバーごとのレベル差が出ないようにすることが目的だったのですが、その場では多くのメンバーが活発に意見交換してくれたので非常に良かったと思います。

今後のセキュリティ対策

冒頭でお話した通りVAddyを導入した直接のきっかけはお客様からの問い合わせの増加ですが、IT業界で自社サービスをやっている事業者としては、中のエンジニアのボトムアップとセキュリティレベルの質を担保し続けるのは必要不可欠です。社内勉強会などでの教育ももちろん必要ですが、VAddyのようなツールを併用してこそ、エンジニアのセキュリティレベルが可視化できると思います。そういう意味でもVAddyのようなツールはもっと広がって欲しいですし、業界標準くらいになっても良いのかなと思います。

最後になりますが、昨今、お客さまのセキュリティに対する意識は高まっており、その中でもIoT分野は普及拡大が進むにつれセキュリティ対策も注目されています。今回、VAddy導入により客観的に診断することで、今まで以上に自信を持って自社サービスを提案できるようになりました。また、セキュリティへの取り組みは一過性のものではないので、今後も継続して投資をしていくことで、安心して利用していただけるサービスを提供し続けていきたいと考えています。

参考：エコモット株式会社が提供するIoTソリューション

• IoTデータコレクトプラットフォーム「FASTIO」
• 融雪システム遠隔監視ソリューション「ゆりもっと」
• 建設情報化施工支援ソリューション「現場ロイド」
• 交通事故削減ソリューション「Pdrive」