導入事例株式会社集英社様

女性誌を中心とする集英社の14メディアとサービスのポータルサイト「HAPPY PLUS（ハッピープラス／通称ハピプラ）」。10年以上前から従来の紙媒体のデジタル化を進めている集英社にとって、HAPPY PLUSは収益の大きな柱に成長している。総勢120名で運営されている同サイトの開発のインフラを担当しているのは、社内外合わせて約50名のエンジニアチーム。今回は同社のプラットフォーム室室長兼マーケティング室長である横田孝俊氏、パートナー企業であるキセキ株式会社の開発エンジニア大友英彦氏、内田一也氏にお話を伺った。

HAPPY PLUSについて

私たちのチームは、集英社の女性誌を中心とする14メディアとサービスのポータルサイト「HAPPY PLUS（通称：ハピプラ）」の運営を担当しています。ハピプラの前身は「紙の雑誌の宣伝」を主な目的としていましたが、メディア業界におけるデジタル化の波に乗り、ウェブサイト自体をメディアとして成長させ、そこから収益を得る方針でスタートしました。現在、ハピプラに掲載される各雑誌は規模を拡大しており、ハピプラはそれらのポータルサイトとしての役割を果たしています。

ハピプラの運用は、集英社、集英社アーツ&デジタル、キセキの3社が中心となり、各雑誌の編集部と密に協力しながら進めています。私たちは、ウェブメディアの運営、デジタルマーケティングの推進、プラットフォームの開発と管理など、幅広い業務を行っています。

サービス特性に応じた脆弱性診断の追求

私たちは当初、外部の脆弱性診断業者による定期的な手動診断サービスを利用していました。しかし、私たちは複数のサイトを管理していますので、予算の制約などにより、全てのサイトで外部診断を十分に実施することはできません。また、頻繁に機能追加や改修が行われるプロジェクトでは、定期診断の間隔が長くなることが課題でした。私たちにとって理想的なのは、CI/CDプロセス内でデプロイのたびに脆弱性診断を実施することです。半年や一年に一度しか実施できない定期診断より、デプロイごとに脆弱性診断を実施できたほうが安心という考え方です。

VAddyに出会う前は、オープンソースの診断ツールを用いた脆弱性診断の内製化も検討し、実際にチームで動かそうとしたこともあります。ただこのときはデプロイごとの診断の自動化ではなくリリース前診断のイメージです。しかし、最終的には、そのツールの使い勝手が私たちのニーズに合わないと判断し、利用を断念しました。

「これだけで使えるの？」VAddyの第一印象

先にお話したオープンソースの診断ツールの検討には5名以上のメンバーが関わりましたが、総じて開発現場で使うには難しいという印象でした。特に、診断前の複雑な事前設定や、設定ミスによる外部への不正なリクエスト送信のリスクが大きな懸念点でした。さらに、診断実行時にPCに負荷がかかりすぎるので、並行して開発業務を行うことができませんでした。私たちはセキュリティ専門のチームではないので、日々の開発業務の傍らで使うには向かないという結論になりました。

これに代わるものが無いかということで見つけたのがVAddyです。事前にビットフォレストさんにオンラインで操作方法を説明していただきましたが、無料トライアルで実際に動かしてみたら「これだけでできるの？」という感じで感動的でした。オープンソースツールで苦労したからこそ、ギャップが凄かった。CIとの連携も容易で、セキュリティ検査の実施に対するハードルをとても低くしてくれるところが非常に魅力的です。

初めて使うときに「サーバー所有者確認」の設定で少しつまづいたときも、チャットサポートを通じてVAddyの開発チームから迅速な回答を得ることができ、すぐに問題を解決できました。

現在、VAddyでの脆弱性診断体制を構築したメンバーが主に使用していますが、将来的に新たなメンバーが加わったとしても、特別なトレーニングなしでスムーズに使えると思います。

開発プロセスの自動化の取り組み

弊社では開発からリリースまでのプロセスの自動化をすすめています。大まかに申し上げると、プルリクエストをマージするタイミングでステージング環境へ自動でデプロイされ、CypressでのE2Eテスト、k6での負荷テスト、VAddyの脆弱性診断が並行して実行されるという状態です。VAddyの脆弱性診断も10分程度で終わるため、CIの工程に組み込むには問題ありません。

初めてVAddyをCIに組み込むのもとても簡単で、準備にかかったのは確か2時間くらいだったと記憶しています。VAddyのWebAPIと連携して自動化するためのVAddy公式CLIツールが配布されていたこと、VAddyサイトのドキュメントには様々なCIツールとの連携方法のサンプルが掲載されていたことですぐにCIに組み込めました。
むしろその後の社内資料の作成に時間がかかったくらいです。

ちなみにVAddyのクロール（検査シナリオ）作成も自動化していて、具体的にはスクリプトを組んでブラウザを起動し、URLリストに従ってブラウザにアクセスさせるという形にしています。

VAddyで得られた安心感

VAddyを約1年間使って現場にフィットすることがわかったので、今年からAdvancedプランにアップグレードしました。CI/CDサイクルの中で自動的に実行される脆弱性診断が、IPA（情報処理推進機構）のチェックリストを網羅できるというのは大きな安心材料です。非常にコストパフォーマンスが高いと感じます。弊社の場合はお客様から脆弱性診断の基準について要求されることはありませんが、Webサービスを運営している以上、こうした公的なチェックリストへの配慮は避けて通れません。

さらに、脆弱性診断とは直接関係ないものの、過去にスキャン時間が異常に長くなった際にビットフォレストさんにサポートチャットから調査を依頼したことがあります。問い合わせを投げたのが金曜日だったので回答は月曜日かなと思っていたら、その日のうちに解析結果の回答をいただいてとても驚きました。そのときは弊社のアプリケーション側に原因があったのですが、通常のテストでは見過ごされがちな内容だったのでとても助かりました。

サポートが厚くて早いというのも、脆弱性診断の実施で得られるものとは別の意味での安心感があります。

VAddyを検討中の方にメッセージ

現在私たちは集英社オリジナルCMSへの移行プロジェクトを進めています。新システムに移行されていく媒体には全てVAddyを導入していく予定です。

VAddyは非常に容易にかつ継続的に脆弱性診断を行えるため、従来の診断ツールやサービスの難易度や費用の面で実施を躊躇されている方がいらっしゃったら是非お試しを。