導入事例株式会社ゴンドラ様

コストと操作性、カバー範囲のバランスに優れるVAddy

脆弱性診断の内製化 テレワークでの利用
株式会社ゴンドラ様
主な業務
リード獲得からCRM支援までをワンストップで実現するサービスやソリューションの提供
サービスの規模
継続取引先400社以上
脆弱性検査での課題
自社サービスへの継続的な脆弱性診断の必要性

株式会社ゴンドラは、「カスタマーエンゲージメントの第一人者を目指す」を経営理念に掲げ、企業のウェブマーケティングにおけるリード獲得からCRM支援(顧客関係構築)までを一気通貫で提供している。 リード獲得ではリスティングやSNS広告、CRM支援ではデータ分析やメール配信などを中心に、それらにまつわるクリエイティブ制作やシステム開発を事業として活動している。 また自社で培ってきたノウハウを生かし、初心者向けのウェブマーケティングメディア「LIFT」の運営も行っている。

今回は2019年末よりVAddyを導入している同社のCTO竹田氏、北島氏に話を伺った。

コストと操作性、カバー範囲のバランスがVAddy導入の決め手

弊社の業務は大きく分けて受託開発と自社サービス開発の2種類に分けられます。
受託開発案件ではお客様の予算に応じて手動脆弱性診断を利用することもありますが、自社サービスである「スパイラルアフィリエイト」については、開発のサイクルが短いということもあり、脆弱性診断の内製化を数年前から検討していました。

VAddyを導入する以前は他にもいくつかの診断ツールを比較しましたが、なかなか弊社が想定する運用イメージにマッチする製品がありませんでした。例えば、お付き合いのある診断会社さんに紹介いただいたセキュリティ専門家向け診断ツールはライセンス費用が高額であったり、ある海外製品は(当時は)日本語化しきれておらず直感的に操作しづらかったりといった課題がありました。また、中には検査自体に数日かかったり、検査の途中でセッションが切れてしまって最後まで検査できないといったものもありました。

そこで当時既にVAddyを利用していた弊社のグループ会社の人間にVAddyの存在を教えてもらい、個別相談会に参加しました。個別相談会ではVAddyの説明のみならず実際の診断デモまで見ることができ、VAddyがそれまでに比較検討した他のツールと比べて操作性、コスト、カバー範囲といったところバランスが取れていたことが分かったのが導入のきっかけです。確かにVAddyの診断項目は他と比べて多いわけではありませんが、自主的に行う診断ツールとしてはこれで十分かなというのが当時の印象です。

VAddyを使ってみて

操作は非常にシンプルで、診断前のテストシナリオ(クロール)の作成も対象のアプリケーションをポチポチ操作するだけなので、手間なくライトに診断できたなというのが印象です。また、SaaS型で提供されているので、テレワークのメンバーでも利用できたり、他のスタッフが作成したテストシナリオを使いまわして定期的に実行できるといったメリットもあります。

一方で、現在利用しているProfessionalプランについては、十分理解して使ってはいるものの少し診断内容が物足りないように感じてきたのも事実です。実際にVAddyで診断したアプリケーションを親会社のセキュリティ部門が実施する脆弱性診断にかけたとき、Professionalプランでは対応していない脆弱性を指摘されることもあるので、上位のEnterpriseプランあるいは検査項目追加オプション付きプランへのアップグレードは検討しています。

手動脆弱性診断とツール診断の使い分け

VAddyに限った話ではありませんが、Webアプリケーションの脆弱性にはツールだけでは見つけきれないものがあります。その代表的なのが「仕様バグ」です。アプリケーションの挙動としては正しいものの、そもそもの仕様の誤りによって攻撃が成立してしまうといったケースは診断ツールでは検出できません。個人的には「仕様バグ」のほうが情報漏洩リスクが高いと考えています。また、クライアントサイドの脆弱性(ブラウザ側で発動する脆弱性)を検出できる動的診断ツールも多くは無いのではないでしょうか。

ですので、例えば年に一回の手動脆弱性診断とVAddyを使った継続的な診断をしっかり計画していくべきだと感じています。継続的に開発し続ける自社サービスの場合はそうしたやり方で時間とともに「仕様バグ」は無くなっていきます。

今後の展望

これまでの受託開発案件は親会社が提供しているSPIRALというプラットフォーム上で動くアプリケーションが多く、そこではプラットフォーム側でセキュリティ対策がとられることがほとんどでした。最近では1からスクラッチで開発する案件も増えてきているので、現場にVAddyを落とし込んでリアルタイムで診断しながら開発するやり方が取り入れられるようになってきたかなと思います。

約2年前は私(竹田)が一人で属人的に診断を行っていたため、社内の仕組みとして脆弱性診断を実施できる状態ではありませんでした。現在は自社で開発するプロダクトのセキュリティ品質を管理する専門の部署が立ち上がっているので、そうした取り組みの準備もできています。

いわゆるDXの浸透に比例してか納品前の脆弱性診断を要求されるケースも多くなってきていますし、新人エンジニアへのセキュリティ教育のためのツールという意味でも活用の幅は広がると期待しています。

株式会社ゴンドラ

代表者
代表取締役社長 古江 恵治
設立日
2016年3月1日
資本金
30,000千円
所在地
東京都中央区銀座5丁目13番16号 ヒューリック銀座イーストビル5階
業務内容
リード獲得からCRM支援までをワンストップで実現するサービスやソリューションの提供

他の導入事例を見る