私たちは、その基本方針に基づき、富士通グループがお客様へ納入するインターネット接続システムにおける、セキュリティに関するガイドライン作成やセキュリティ監査の実施、またSEに対する技術サポートや教育などを行っています。
以前より、お客様へ納入するWebサイトやWebアプリケーションなどの脆弱性は、簡易的なツールを使って、ある程度のチェックを行い、簡易的なツールでチェックできない項目はSEが手作業で一つ一つチェックしており、大きな労力と時間がかかっていました。また、手作業ですとどうしても人に依存する部分があり、SEの技術レベルによって品質にバラつきが出てしまうということが避けられない課題でした。そこで、グループ全体でツールを導入する事で課題解決を図るべく検討をしておりました。
具体的には、今回の利用目的ではシステム納入の繁忙期に多数のライセンスが必要となりますが、繁忙期に合わせて年間ライセンスを購入するとコストが過大な負担となってしまいます。ユービーセキュアさんには、必要な時に必要なライセンスを購入できる形態をご提示いただきました。また、操作性については、セキュリティのスペシャリストではないSEがちゃんと操作できるかが課題でしたが、VexはWebアプリケーションの開発経験や開発言語の知識があれば対応可能なツールであると評価しました。さらに、サポート面ですが、問い合わせに時間がかかるとお客様に直接ご迷惑がかかってしまいます。
海外メーカーさんですと、テクニカルな質問に関しては本国への問い合わせとなり、 タイムラグが発生してしまう点が懸念事項としてありました。ユービーセキュアさんは国内メーカーということもあり、かなり迅速に対応してもらえるということでした。
SEはシステム納入前の約2週間程度、一時的にしかVexを使用しません。1年間で1~2度しか使わないSEも多くいます。そのため、Vexに関するマニュアルをすべて読んで理解するのは負担が大きいため、当社における必要最低限の項目をピックアップした社内用の手順書も作成しました。
また、今回はグループ内で先立ってVexを導入していた富士通SSLに、Vexの社内サポート窓口となってもらう体制を構築しました。操作上の質問や基本的な内容の問い合わせは対応してもらっています。技術的な内容の質問については、富士通SSL経由でユービーセキュアさんに対応してもらう体制をつくりました。
また、SEはシステム納期直前、時間に余裕がない中でVexを使うことが多いので、急ぎの問い合わせもありますが、ユービーセキュアさんにはいつも迅速に対応いただいており、大変助かっています。ただ一つ、Vexの検査実行時間が長い傾向があるため、性能向上に取り組んで頂くか、あらかじめ検査にかかる時間の見通しが立つと作業がしやすいです。
今後も、新たに発見された脆弱性への対応をタイムリーに実施いただくことや、また、現状の日本語・英語に加え中国語など多言語への対応など、将来を見越したアップデートを期待しております。