導入事例株式会社ネットフォレスト様

ネットワークからWebコンテンツまでインターネットソリューションをワンストップで提供する「株式会社ネットフォレスト」。自社サービスサイトの脆弱性検査や、パートナー企業から納品されるWebアプリケーションの受入検査時の脆弱性検査にVAddyを利用いただいています。今回のインタビューは2018年2月15日にオープンしたばかりの、同社が運営する横浜のコワーキングスペース「/Bangarrow（バンガロー）」で行いました。

ネットフォレストとは

ネットフォレストは2000年4月創業の、ISP事業（かもめインターネット）を中心とした情報システム企業です。ISP事業はネットフォレストの前身の企業の時代（1996年）から始めていますので、老舗の部類に入ると思います。
現在はISP以外にもホスティング、Webデザイン、ホテル向けVOD事業など幅広く事業を展開しており、お客様にネットワークからWebコンテンツまでワンストップで提供できることが強みです。

私はネットワークソリューショングループという部署でISP事業におけるインフラの保守、VOD事業でのネットワークの設計から機器の設定まで幅広く手がけております。それ以外には基本的には社内の技術的な部分を多く任されており、自社サービスのWebアプリケーション開発やセキュリティ周り全般も担当しております。

ライトに検査できるのがVAddyの強み

VAddyは自社のISPサービスサイトの脆弱性検査から使い始め、最近では受託のWebコンテンツ開発案件でパートナー企業から納品されるWebアプリケーションの脆弱性検査に使っています。弊社はSix Apart社のProNetメンバーなので、Movable TypeやPowerCMSを使ったシステム開発が多く、スクラッチでの開発は問い合わせフォームなどの軽めのものが多いというのが現状です。CMS本体の脆弱性検査を実施するのは現実的ではないので、検査の対象はそうした軽めのWebアプリケーションになります。

VAddy導入前はあるクラウド型Webサイト脆弱性診断サービスの利用も検討しましたが、そのツールは設定の難しさもさることながら契約から利用開始までにかなりの時間がかかることも問題でした。例えばVAddyだと検査対象のサーバー登録はブラウザ上で実行できますが、そのツールだとサーバー登録はベンダーに申請して実施してもらう必要があります。他にも、検査のテストケースが大幅に変わる場合はあらたに別の契約を申し込まないといけないなど、細かな制約が多くありました。

おそらく、アプリケーションの機能追加がほとんど発生しないようなWebサイトで、セットアップした後は放置して自動診断結果のレポートを定期的に確認するという使い方を想定して作られているのだと思います。けれども導入や設定変更に時間がかかるツールだと、私たちのように頻繁にアプリケーションが変更になる自社サイトや、案件ごとにホストもアプリケーションも異なるようなWebコンテンツ開発業務には向いていません。

その点VAddyはあらゆる手続きがWebブラウザで実施できますし、検査自体も圧倒的に速い。オープンソースの脆弱性検査ツールもありますが、問い合わせフォームのような「軽めのWebアプリケーション」だけを検査したいという場合だとそれらのツールでは重すぎます。いくつかの検査ツールも検討したものの、「軽めのWebアプリケーション」をライトに検査できるツールはVAddy以外に無かったというのが結論です。

セキュリティ要件が定義される案件が増えてきた

弊社がお請けしているWebコンテンツ開発案件ではアプリケーション開発を外部のパートナー企業に依頼することも多く、その場合弊社のWebディレクター／デザイナーがパートナー企業から納品されるアプリケーションの受入検査を実施します。その際に一通りの機能テストは実施しますが、明確なセキュリティ要件がクライアントから提示されていない案件ではそれ以上のことは社内では実施せず、セキュリティ対策はパートナー企業におまかせしていました。

しかしながら、クライアントからのRFPにセキュリティ要件が定義されることが増えてくるにともない、弊社内でもパートナー企業から納品されるWebアプリケーションの脆弱性検査を実施する必要がでてきました。

クライアントから提示されるセキュリティ要件は「クロスサイトスクリプティング（XSS）対策を講じること」といったような粒度のものが多く、特殊な攻撃に対しての対策までは求められないので、VAddyのようなライトなツールで「基本的な検査はやっています」と言えることが重要になります。

デザイナーによる脆弱性検査がエンジニアの負荷を軽減

VAddy導入前は社内での脆弱性検査は私たち技術部門が実施していましたが、今ではWebディレクター／デザイナーがVAddyを使って自分たちで検査するようになりました。クロールデータの作成（検査のシナリオ作成）は多少めんどうなものの、前述したようにもともと彼らは受入検査時の機能テストを実施していたので、それと同時にクロールデータを作成してしまえば他に特別な手間や知識が必要ありません。

もちろん、何らかの脆弱性が発見された場合は私たち技術部門がWebディレクター／デザイナーをサポートしながらパートナー企業に修正依頼を出すことになるのですが、脆弱性検査の実行までをデザイナーたちだけでやってくれるだけでも技術部門の負荷は大幅に軽減されます。技術部門としては問題が発見されたときだけ対応すれば良いですからね。弊社ではデザイナーとエンジニアが席を並べて仕事をしているので、何か脆弱性が発見された場合はデザイナーたちと一緒にVAddyの検査結果画面を見ながら対策を検討しています。

自社サービスサイトの検査でも活用

VAddyの利用シーンは受託のWebコンテンツ開発だけではありません。弊社はISP事業などの複数の自社サービスサイトがあります。それらのサイトのWebアプリケーションは自社で開発しており、機能追加や変更が頻繁に発生します。私が開発している案件では単体テストの段階から頻繁にVAddyで検査しています。
開発の途中からSeleniumのテストを作るようにしているので、動作チェックをSeleniumで自動化させたあとはSeleniumのテストシナリオをVAddy用に少しカスタマイズして納品前にまとめてテストをしています。

今はまだCI（Continuous Integration）は導入できていないのですが、ちょっと自社サービスのアプリケーション管理が煩雑になってきたので、CircleCIの導入を検討しているところです。VAddyサイトの他社さんの事例でCircleCIとVAddyを連携している会社さんも拝見しましたので、近い将来でCIとVAddyを連携したいと思っています。

VAddyへの要望

あえて言えばクロールデータの作成補助機能のようなものがあるとうれしいですね。これだけ楽に検査できるので、もっと楽したいという欲がでてきました（笑）。VAddyとCIの連携を始めたら別の要望も出てくるかもしれませんが、今のところ要望はそれくらいでしょうか。
例えば検査結果のレポート機能なども、私たちが使う限りではこれ以上の詳細なレポートは不要かなと思います。脆弱性が発見された場合はすぐに修正しますし、どこにどんな脆弱性があるかが分かれば十分です。むしろ検査ごとに詳細なレポートが作成されることでVAddyの検査速度が落ちるようなことがあったら困ります。

とは言え、社内監査や四半期ごとのPCI DSS対策などで詳細なレポートが必要な企業もいらっしゃると思うので、そこは一回いくらという形でレポート作成オプションを出すというのはいかがでしょうか？

とにかく「速さ」と「手軽さ」はVAddyの最大の強みなので、将来機能追加をされる場合でもその強みは失わないで欲しいと思います。

/Bangarrow（バンガロー）について

2018年2月15日に横浜にオープンしたコワーキングスペース「/Bangarrow」。
多くの企業とのパートナーシップを組みながら成長してきたネットフォレストさんが、新たな縁を創造する場として開設されました。横浜駅からのアクセスの良さや横浜港と横浜ベイブリッジが一望できる眺望の良さはもちろんのこと、利用者にとって嬉しいのが高速の回線と高い技術を持つスタッフのサポート。ネットワークのスペシャリストが運営しているだけあって、太いバックボーンと高速なWi-Fi環境が整備されており、会議室を利用してのテレビ会議などにも最適です。また、フロアの隣はネットフォレストさんのオフィス。インフラからコンテンツまで様々な問題を解決できるスタッフが揃っています。
横浜にお越しの際はぜひお立ち寄りください。
https://www.bangarrow.com/