導入事例アイピーロジック株式会社様

日本国内No1シェアのEコマース用OSS「EC-CUBE」のカスタマイズや決済モジュールの開発に特化したアイピーロジック株式会社。同社は「高品質なシステム開発」を最大の強みとしていることから、一度契約したお客様からの解約はこれまでほぼ発生していないという。決済システムというクリティカルなモジュールの開発も行うような腕利きのエンジニアを揃えている同社がVAddyを導入した経緯や、セキュリティに対する考え方を代表取締役の毛塚氏に伺った

アイピーロジック株式会社とは

私がアイピーロジックを設立した2009年当時のWeb開発現場は、いわゆるデスマーチが常態化しており、納期遅延や納品物に含まれる大量のバグでお客様から山のようにクレームが来るというケースも珍しくありませんでした。そこで、プロジェクト管理まで含めた「正しい開発」ができるプロフェッショナルなシステムエンジニアリングサービスを提供しようということで会社を設立しました。プログラムそのものの品質はもちろんのこと、ITのプロフェッショナルとしての提案やプロジェクトマネジメントが「当たり前にできる」ことが弊社の強みになります。

現在はEC-CUBEのカスタマイズや決済モジュールの開発、EC-CUBEと基幹システムを連携するためのサブシステムの開発など、EC-CUBEに関連する業務がほぼ100%です。EC-CUBE決済モジュールに関しては日本国内の大部分の決済代行会社のモジュールを開発／保守しています。2016年には日本初のEC-CUBE用Amazon Payプラグインをリリースし、今日現在で300件以上の導入実績があります。

また、ECサイトの新規構築だけでなく、他社が開発したシステムを引き継いで保守や追加開発を行うケースも増えてきています。弊社はおかげさまでこれまで契約したお客様とは深い信頼関係を築けていることから、解約されること無く長期的なお取引を続けられていることも特徴ではないかと思います。

これまでのWebセキュリティ対策とVAddy導入のきっかけ

2017年ころまではセキュリティ意識の高いお客様についてはWAF（Web Application Firewall）を提案して導入することもありました。ところが、お客様に導入したWAFのログを見ていると2018年あたりから不正アクセスと思われるアクセスが急増してきました。セキュリティ系の会社に務める知人に相談しても日本全体でそういう傾向があるようだったので、弊社が保守している全てのサイトにWAFを入れるようにしています。

社内的なセキュリティ対策として、弊社のシステム開発ではテスト仕様書レビューから動作確認レビューまでのいくつかの段階で複数人によるレビューを行っています。そのうちのソースレビューではSQLインジェクションなどの重要な脆弱性のチェックは行っています。しかしながら、案件の増加していく中で社内のエンジニアを増やしていくにともない、経験豊富な上流のエンジニアが全案件のソースコードを確認するということができなくなりつつあるという危機感を感じていました。前述の不正アクセスの増加傾向と社内体制の変化という複合的な要因から、セキュリティ対策については何らかのツールを導入する必要がでてきたのです。

脆弱性検査ツールの導入に当たって、当然いろいろなツールを試して比較検討しましたが、例えばOWASP ZAPは使いづらかったり、URLベースでサイト全体を自動で検査するツールは時間がかかりすぎたり、条件をいろいろ変えた複合的なテストができないなど、それぞれ何かちょっと足りないと感じていました。

そんな中VAddyを試したのですが、良い意味で単純で分かりやすくて気に入りました。例えば他のツールではどういう検査が実施されているのか分かりづらくて、本当に正しく検査が実施されているのか分からなくて不安になります。その点、VAddyは「もし自分たちで脆弱性検査ツールを作るとするとこういう検査をするだろう」という検査を実施してくれるので非常に納得感があります。
VAddyについてはEC-CUBEを開発しているロックオンさんや弊社のお客様が使っていることもあって以前から知っていましたし。

VAddyの導入と利用方法

現在弊社ではVAddyを使った脆弱性検査を全ての案件の納品前に実施するようにしています。開発フローをBacklogで管理していて、例えば仕様書レビュー〜開発〜ソースレビューのようなステップがBacklogにあったとして、その最後のステップに「VAddyでの検査」を組み込んでいます。検査対象はEC-CUBEについて弊社でカスタマイズ／機能追加した箇所だけなので、クロールもそれほど手間ではありませんし、検査時間も数分程度でしょうか。他社から引き継いで新しくEC-CUBEの保守業務をお受けするときは全機能の検査をするので、それなりに時間はかかりますが、弊社はEC-CUBEについては精通しているので独自実装部分がどこにあるのかはすぐに分かります。一度全て検査してしまえばそれ以降は機能追加の差分だけの検査で済みます。

弊社のエンジニアはもともとセキュリティ意識を高く持っています。新しく入ってくる若いメンバーにはEC-CUBEの基本的なカスタマイズを学ぶ二ヶ月間の研修の中でセキュリティ対策を伝えていますが、新しいメンバーが増えていくとセキュリティ意識の「濃度」のようなものが徐々に薄まってしまいます。そうした中、全ての案件においてVAddyでの脆弱性検査を義務づけることは、「セキュリティを重視している」という会社としてのメッセージになり、全てのエンジニアが開発時にセキュリティを強く意識するようになります。同時に、これまで個々のエンジニアのスキルに依存する側面があったソースレビューの後にVAddyの検査を入れることで、属人的な対策から仕組みとしての対策に移行できていると考えています。

ちなみに、VAddyの導入にあたって社内向けのVAddyマニュアルも整備しましたが、VAddyの操作自体は非常に簡単なので、新しいメンバーが加わったときも操作を教えなくてはいけないことはほとんどありませんでした。

今のところVAddyを使って脆弱性検査を実施していることをお客様にはお伝えしていませんが、この記事が出ることでお客様からの品質に対する評価も上がってくれると期待しています。

Webサイトセキュリティは費用対効果を意識して

セキュリティ対策全般に言えることかもしれませんが、情報漏えいなどの「絶対にやられてはいけないこと」以外は費用対効果をもっと意識する必要があると思います。仮に「100%のセキュリティ」といったものを目指そうとする場合、プログラムのバグ曲線（成長信頼度曲線）のように、最後の1%を達成するためには莫大なコストがかかります。先に申し上げたWAFの不正アクセスログからも見て取れるのですが、攻撃の大多数はツールによる自動アタックで、重箱の隅をつつくような攻撃はほとんどありません。そういう意味ではWebサイトの脆弱性対策としてはVAddyが検査対象としている脆弱性だけで十分で、一部の脆弱性検査ツールはちょっとやりすぎかなという感じさえします。

今の日本には私の知る限りだけでも脆弱性対策という意味で酷いWebサイトが無数にあります。日本でも2020年に向けて個人情報保護法を改正して個人情報を漏洩した企業に報告を義務付けるという動きもあるので、国が予算を付けて対策を取らねばいけないレベルかなと思います。

VAddyに望むこと

オプションとしてURLベースでWebサイト全体を検査してくれるような機能（オートクロール）がVAddyにあれば嬉しいですね。オートクロールだけでは効率的な脆弱性検査はできませんが、例えば攻撃者が使うツールと同じ動きや精度で脆弱性を見つけてくれるのであれば、現実的に有効な機能になるのではないでしょうか。「ホワイトハッカーオプション」のような名前はいかがですか（笑）