導入事例ニシム電子工業株式会社様
大規模アプリケーション診断をVAddyがカバー
- 主な業務
- 通信・監視・制御・電源という4つのコア技術をベースに、《サービス》・《ICT》・《エンジニアリング》の3つの事業分野で『トータルソリューション』を展開
- サービスの規模
- 創業1963年、九州全域にサービスを提供
- 脆弱性検査での課題
- 担当Webアプリケーションの規模が大きく、手動診断ではカバーしきれない
ニシム電子工業とは
九電グループの一員であるニシム電子工業株式会社は、電力分野をはじめとして情報通信・エネルギー・環境・建物分野の技術を融合させたトータルソリューションを提供している。
長きに亘り地域のインフラを支えてきた同社は、創立当初より培った通信・監視・制御技術をベースに農業分野や防災分野まで事業範囲を広げている。
今回のインタビューでは他企業や社内向けに災害や緊急時に社員の安否を確認するシステムの開発運用担当者にVAddyの導入の経緯や社内のセキュリティに対する取り組みを伺った。
私たちの部署では九州電力様やそのグループ会社様向けに情報通信ネットワークの設計や構築、監視・制御システムの開発業務を行っています。その中で私たちはシステムエンジニアとして主に九電グループを対象としたシステムの開発に携わっています。
弊社が提供するシステムは、ブラウザベースのインターフェイスを提供していることが多く、サイバー攻撃に対する脆弱性対策が必須となっています。
手動診断の課題とVAddyとの出会い
私たちの部署は大規模システムの開発完了後に、診断会社に委託し脆弱性診断を実施していました。これまでも複数の診断会社に委託してきましたが、私たちのシステムは画面数が非常に多いため、予算の制約から全ての画面を網羅的に診断することはできませんでした。診断対象を重要な機能に絞ったり、類似の機能を診断対象から外すなど試行錯誤して、結果的にセキュリティ診断の対象としたのは全体の1/5以下の画面数まで絞ったと思います。それでも数百万円程度の費用と一ヶ月以上の期間がかかっていました。
年々セキュリティ対策要件が厳しくなる中でリリースのたびに手動診断を依頼していたのでは採算が合わないだろうということで、手動脆弱性診断に代わるソリューションを検討し始めた頃に「FUKUOKA STARTUP SELECTION2017」というイベントでVAddyを知りました。
ちょうど会社からも「今後のシステム開発には脆弱性検査を実施すること」といった通達が出始めてきたところでしたので、良いタイミングだったと思います。
新しいことに積極的に取り組む風土とセキュリティベンダーとしての安心感
VAddy導入にあたって特に他のツールは比較しませんでした。値段が圧倒的に安いというのも理由の一つですが、ビットフォレストさんが開発しているクラウド型WAF「Scutum」は以前から利用を検討していて、VAddyも同じ会社が作っているツールだからという安心感がありましたね。
私たちの部署には「新しいものには積極的に取り組んで行く」という風土があります。例えばプロジェクト管理ツールの「Backlog」は7年以上使っていますし。前述のイベントでVAddyと出会い開発者の方に直接話しをうかがった旨を上司に提案したところ、「試しに使ってみたら」と言ってもらえたので、そのまま使い続けています。値段もお手頃ですぐに使い始めることができたので、他のツールを探すことはしませんでした。
検査を始めるときに難しいと感じたことや躓いた箇所は無かったと思いますが、あえていうと時間がかかったのはクロールデータ(テストシナリオ)作成でしょうか。先ほど申し上げた通り、私たちのシステムは非常に画面数が多いです。機能ごとにクロールデータを作成していますが、異なる機能でも途中まで同じ画面遷移を経ることがあります。できる限り重複を排除して効率よく検査を行うためのクロールデータ作成に時間がかかりました。
手軽に幅広く診断できるのがVAddyの強み
手動診断と比べて一番大きな違いは、診断のカバレッジを上げることができたことです。以前実施した手動診断で脆弱性を指摘されたことがありました。そのときは指摘された箇所とその影響範囲を精査して修正したつもりだったのですが、今回VAddyで全ての画面の脆弱性検査を行ったところ、当時の手動診断対象から除外していた画面において、手動診断で指摘されたものと同じ脆弱性が発見されました。
あとはやはり固定料金で手軽に使えるので、いろいろなシステムで試してみようと気軽に思えるようになったことでしょうか。VAddyを使っているのは私の部門だけですが、他の部門も興味を持っているようですし、このインタビュー記事が公開されたら社内に周知されるのではと期待しています。
VAddyへの要望
レポートダウンロード機能です。VAddyの検査結果は管理画面でしか見られないので、検査結果のサマリーをダウンロードする機能が欲しいです。報告する相手は必ずしもセキュリティに詳しいわけではありません、例えば「SQLインジェクション」という言葉は知っていても技術的な詳細まで理解しているとは限りません。ですので、どの画面を検査してSQLインジェクションが何件発見された/発見されなかったといったサマリーレポートが出力できると、上司やお客様に報告しやすくなるので助かります。
セキュリティ対策への今後の取組み
私たちの担当しているシステムは今後月一回程度の改修が入る予定ですが、VAddyを使えばリリース前に毎回脆弱性検査をすることができます。また、先日契約したPlatinum+プラン(※終了)には年に一回の手動診断が含まれているので、まだ具体的なスケジュールは立っていませんが、大規模改修の前には手動診断も組み合わせていきたいと考えています。
ありきたりな言い方になってしまいますが、セキュリティ対策は目に見える付加価値は生みません。しかしながら、インターネット上で流れるデータが年々増加していく中で、将来の損失を防ぐという意味でも弊社では積極的に投資していきたいと考えています。
九電グループ会社内で、この記事を読んで脆弱性検査に興味を持つ方がいらっしゃったらお気軽にご連絡ください(笑)