JCBとしてのセキュリティ品質の統一とコスト削減を求めて
当社は、国際ペイメントブランドを運営する企業としてお客さまの様々なニーズに応えるべく、BtoB、BtoC向けのWebアプリケーションの開発を複数行っています。
近年では、クレジットカードに限らず電子マネーを活用した新しい決済ソリューションの提供も始まっていますが、これらの仕組みを支えているのが複数のWebアプリケーションであり、高いセキュリティレベルを担保することが求められています。
カード番号というセンシティブな情報を扱っているカード業界には、JCBも制定に関わっている、カードの会員データを安全に取り扱うためのグローバルセキュリティ基準である「PCI DSS」があります。PCI DSSの要件6で、システム開発についてはコーディング段階から排除すべき脆弱性について詳細に記載されており、PCI DSSの認定を得るためにもWebアプリケーションに対する定期的な脆弱性検査の実施が不可欠となっています。
そのため、当社でも各プロジェクトが検査ツールを個別に導入するなどして脆弱性検査を実施していました。
しかし、プロジェクト毎にビジネスパートナーも異なるため、脆弱性検査の考え方や手法もバラバラであり、このような状況ではJCBとしてのセキュリティ基準や品質の統一ができないという課題が生じていました。また、手法やツールを統一して、プロジェクト毎に発生していたライセンス購入コストを含む脆性検査コストを低減したいという考えもありました。
純国産だからわかりやすく、使い勝手の良いVexを導入
どのツールをJCB標準にすればよいのか。そこでこれまで利用していた脆弱性検査ツールに加え、従来から当社のシステムセキュリティについてコンサルティングを担当していたNRIセキュアテクノロジーズさんの推薦もあり、Vexを比較検討対象とすることにしました。
実際に比較検討したところ、誤検出の少ない検出精度の高さや、直感的なUI/UXを含む操作性でVexの優位性が認められましたが、決め手となったのは「純国産ならではの使い勝手の良さ」です。Vex以外は海外の製品だったので、レポートも部分的に英語だったり、日本語部分に違和感があったりと、日本人である私たちは少し戸惑う面もありました。検証時の問い合わせに対するレスポンスの速さと的を得た回答も素晴らしかったです。
また、私たちが特に気に入ったのがVexの最大の特長とも言える脆弱性検査シナリオの作成支援機能です。例えばGUI操作によりテストシナリオを作成する画面遷移図はその代表例。同機能を使えば、直感的にシナリオを作り上げることができます。そのほかにも、詳細レポートからサマリレポートまで目的によって使い分けが可能で、PCI DSS要件への対応状況が一目でわかるレポート機能も高く評価しました。PCI DSSの審査でも、Vexから出力されたレポートをQSA(審査機関)に提出したりと活用することができています。
メンバーの入れ替わりがあっても迷わず、長く使い続けられる製品の使いやすさはビジネスパートナーが脆弱性検査を実施する効率を考えても非常に重要なポイントになります。教育にかかるコストも加味した上で、最終的にVexの導入を決定しました。
セキュリティ品質が統一され、数千万規模のコスト削減を実現
約半年間の検討期間、その後、約半年間のシステム構築期間を経て、2014年にVexを導入しました。現在、Vexは私たちの部署で開発を進めているWebAPI基盤プロジェクトをはじめ、複数のWebアプリケーション開発プロジェクトで活用されています。
すでに導入から5年が経ちましたが、導入当初から操作でとまどうことはなく、ビジネスパートナーからも「使い勝手が良い」という高評価を得ています。もちろん、新しいビジネスパートナーの利用開始前にはレクチャーを実施していますが、操作説明会1回だけでみなさんなんなく使いこなしてくれています。
何かわからないことが発生した場合はユービーセキュアさんに問い合わせるのですが、レスポンスがすごく早いので助かっています。繰り返しになりますがサポートの質は圧巻です。
導入して初めて気付いたVexの良さもありました。それはどこに脆弱性の問題があるのか、脆弱性検査結果・レポートから修正すべき箇所の理解がしやすいところです。さらにVexを導入したおかげで、PCI DSSの認定取得・維持する負荷も大きく削減されました。
いずれにしても弊社としての最大の成果はセキュリティ品質の統一ができたこと。またもう一つの目的であったコスト削減についても、これまでプロジェクトごとにライセンスを購入していたときと比べて、数千万円規模のコスト削減効果は出ていると思います。
最近では開発中のWebAPI基盤の脆弱性検査にもVexを活用しています。API基盤は社内外のさまざまなシステムとつながる重要なゲートウェイ基盤なので、Vexを使ってさらにセキュアなものにできればと期待しています。
いずれはセキュリティ診断の自動化も検討。リスクのさらなる軽減に取り組む
現在、脆弱性検査ツールの操作はすべて人が行っています。人が操作を行うことの最大のデメリットは、ミスを完全に防げないことです。ミスを防ぐために、すべてのシステムが対象になるわけではありませんが、脆弱性検査やテストなどのプロセスをできるだけ自動化したいと考えています。リスク軽減のメリットと自動化を作り込むコストを考え、また、とはいえ人でしか気づけない部分もまだありますので、それらを鑑みて検討していきたいと思います。
世の中の流れと同様、当社でもクラウドファーストを掲げています。今後、Vexをクラウドで活用することも検討しています。ユービーセキュアさんには、今のオンプレミス型からスムーズに移行できるような仕組みのご提案を期待しています。