株式会社カービュー様
主な業務
自動車およびカーライフに関するイーコマース事業、インターネットメディア事業、ならびにそれらに付随するサービスの提供
サービスの規模
クルマとカーライフにおける日本最大級のメディア&情報プラットフォーム
脆弱性検査での課題
QAチーム内の非エンジニアが脆弱性診断を実施する必要性

Yahoo! JAPANグループの一員である株式会社カービューは、テクノロジーを活かして、クルマを持つこと・使うことを「もっと身近に、もっと楽しく」変えて行く、というミッションのもと、業界No.1のトラフィックを誇る自動車・バイクの総合情報サイト「carview!」や100万人以上が利用する日本最大級のクルマSNSサイト「みんカラ」、クルマのパーツ交換/整備スキル売買のスキルシェアリングアプリ「pitte」など、自動車やバイクに関心がある人なら一度は使ったことがあるサービスを数多く提供している。

今回は2017年からVAddyを利用いただいている同社の開発本部から北村氏、長島氏、真鍋氏の3名に話をうかがった。

社内のセキュリティ対策とVAddyの効果

開発本部 本部長 北村道介氏

開発本部 本部長
北村道介氏

私が率いている開発本部のミッションはカービューのサービスをより早く安全にリリースすることです。弊社ではほぼ毎年脆弱性診断は診断会社に依頼していましたが、2015年にYahoo! JAPANグループに入ってから、開発エンジニアのセキュリティ意識が以前より高まっていて、セキュリティ勉強会も定期的に実施しています。

しかしながら、多数の開発エンジニアが所属しており、なおかつ新卒の方が毎年入社する環境の中では、どうしてもエンジニアごとの意識やスキルに偏りが出てくることがあります。社内にはエンジニアが利用する共通のテスト仕様書があり、その中にはセキュリティ関係のチェック項目も当然整備されているのですが、それらの項目への対応方法にバラつきが出ることがあります。そうした意識やスキルの差によるセキュリティ対策のバラつきを無くすことが必要だと考えていました。

2017年から開発本部内のQAチームでVAddyを利用していますが、QAチームで実施した検査結果を開発チームに共有し、それを見ながら修正を行うことでエンジニア間のスキルや意識のバラつきを是正することができるようになっています。

また、弊社の全てのサービスの全ページの診断を外部に依頼するのは予算的に難しいのですが、診断会社に依頼できない機能をVAddyでカバーできるようになっているので、セキュリティ対策のカバレッジを上げつつ今までよりコストは削減できていると思います。基本的な項目は事前にVAddyでチェックしているので、診断会社からの指摘も減りました。

最終的にはVAddyをビルドパイプライン(CI/CD)に組み込むことがゴールですが、まだ試行錯誤の段階です。

VAddy導入の決め手

データディレクター兼セキュリティ推進室 室長 兼 開発本部 QAチーム マネージャー
長島康氏
データディレクター 兼 セキュリティ推進室 室長
兼 開発本部 QAチーム マネージャー
長島康氏

それまではOWASP ZAPやいくつかの有償ツールを検討しましたが、現在はBurp SuiteとVAddyを併用して使っています。弊社ではツールでの診断をQAチームで実施することが大前提でしたので、VAddyに関しては開発エンジニアでなくても使えるという点が最大のポイントでした。例えばBurp Suiteだと「このPOSTリクエストは何をしているのか?」といったアプリケーションの内部の動きを把握していないと使えないことがあるので、QAチームの全員が使いこなせるわけではありません。開発経験や診断経験が無いと使いこなすのは難しい印象です。
その点、VAddyは細かい設定も不要でブラウザ操作だけで基本的な検査は完結できます。VAddyを社内展開する際にもVAddyの操作マニュアルを整備したり、社内トレーニングを実施する必要もありませんでした。

また、VAddyはクラウド型ツールでありながら、クローズドな環境(イントラネット上の環境)にも検査を実行できることもポイントでした。弊社の開発環境はイントラネット上にあるので、VAddyのプライベートネット機能を利用しています。ただ、プライベートネット機能はWebブラウザ以外の操作が必要なので、エンジニア以外のメンバーに操作方法を伝えることは苦労しました。プライベートネット機能の設定についてもGUIアプリとかがあると良いかもしれませんね。

VAddyの導入を検討していた2017年時点では、弊社のWebアプリケーションで利用していたセッション管理の仕組みにはVAddyが対応してなかったのですが、サポートにその旨を伝えたところ、VAddy側のアップデートで対応してもらえたのも導入の決め手です。

VAddyの利用方法

開発本部  QAチーム 真鍋智一氏
開発本部 QAチーム
真鍋智一氏

VAddyのアカウントは25人ほどが保有しています。
いずれは開発チームで単体テスト時にVAddyを回せるようにしたいと思っていますが、現時点ではサービスやソフトウェアの品質を担保する責任者であるQAチームがVAddyの実行を含めた脆弱性対応を行っています。Jenkinsを使って定期的にVAddyで検査を実行し、検査結果はチーム機能を使って開発チームへ共有しています。

弊社で提供しているWebアプリケーションは画面ごとのパラメータ数が非常に多いことが特徴の一つです。例えば中古車の検索機能だけでもメーカーや車種、年式、タイプなどの検索パラメータが大量にあります。欲張って一つのクロールにたくさんの画面を入れてしまうと、スキャン上限時間に引っかかってしまうので、漏れなく重複なくクロールを分割して作成するところに工夫しています。

VAddyは使いやすいツールではありますが、検査対象のWebアプリケーションのパラメータが変更になった場合でも柔軟にクロールを編集できる機能があると良いですね。現状ではクロールを作成し直す必要がありますので。クロールについてもう一つ言うと、複数のクロールデータをまとめて実行する機能が欲しいなと思います。クロールデータは機能ごとに作成していますが、ある機能がアップデートされた場合、その機能だけを検査すれば良い場合と、それに関連しそうな複数の機能(クロールデータ)を検査したい場合があります。Jenkinsを使えば複数のクロールを順番に実行することもできますが、JenkinsなどのCIツールを使っている会社ばかりでは無いと思うので、VAddy管理画面からそれができると喜ばれるのでは無いでしょうか。

セキュリティ対策が当たり前な時代になってきた

少し前まではWebサイト/Webアプリケーションのセキュリティ対策はエンジニアが担当するものという考え方があったと思いますが、今はそうではありません。サービスに関わる全ての人がセキュリティを意識しないといけない時代になってきました。ビジネスである以上はセキュリティ対策だけをやるわけにはいきませんので、ビジネスの施策とセキュリティ対策のバランスを関係者全員で議論していく必要があります。

Webアプリケーションのセキュリティ対策を開発チームが実施している企業も少なく無いと思いますが、私たちは脆弱性もバグの一種という観点から、本来それはソフトウェアの品質を担保するQAチームの役割だと考えています。開発チームでも当然セキュリティを意識したモノづくりを行っていますが、それを開発チームだけに任せること無くQAチームも一緒に対策の立案と実行を行っています。品質保証という言葉の中にセキュリティ対策も組み込まれたのが、VAddyを導入した2年間で起きた変化だと思います。


株式会社カービュー

代表者
代表取締役社長 小谷 圭太
設立日
1996年9月5日
資本金
1億円
所在地
東京都千代田区紀尾井町1番3号 東京ガーデンテラス紀尾井町 紀尾井タワー22階
業務内容
自動車およびカーライフに関するイーコマース事業、インターネットメディア事業、
ならびにそれらに付随するサービスの提供

他の導入事例を見る