近年では、クレジットカードに限らず電子マネーを活用した新しい決済ソリューションの提供も始まっていますが、これらの仕組みを支えているのが複数のWebアプリケーションであり、高いセキュリティレベルを担保することが求められています。
カード番号というセンシティブな情報を扱っているカード業界には、JCBも制定に関わっている、カードの会員データを安全に取り扱うためのグローバルセキュリティ基準である「PCI DSS」があります。PCI DSSの要件6で、システム開発についてはコーディング段階から排除すべき脆弱性について詳細に記載されており、PCI DSSの認定を得るためにもWebアプリケーションに対する定期的な脆弱性検査の実施が不可欠となっています。
そのため、当社でも各プロジェクトが検査ツールを個別に導入するなどして脆弱性検査を実施していました。
しかし、プロジェクト毎にビジネスパートナーも異なるため、脆弱性検査の考え方や手法もバラバラであり、このような状況ではJCBとしてのセキュリティ基準や品質の統一ができないという課題が生じていました。また、手法やツールを統一して、プロジェクト毎に発生していたライセンス購入コストを含む脆性検査コストを低減したいという考えもありました。
実際に比較検討したところ、誤検出の少ない検出精度の高さや、直感的なUI/UXを含む操作性でVexの優位性が認められましたが、決め手となったのは「純国産ならではの使い勝手の良さ」です。Vex以外は海外の製品だったので、レポートも部分的に英語だったり、日本語部分に違和感があったりと、日本人である私たちは少し戸惑う面もありました。検証時の問い合わせに対するレスポンスの速さと的を得た回答も素晴らしかったです。
また、私たちが特に気に入ったのがVexの最大の特長とも言える脆弱性検査シナリオの作成支援機能です。例えばGUI操作によりテストシナリオを作成する画面遷移図はその代表例。同機能を使えば、直感的にシナリオを作り上げることができます。そのほかにも、詳細レポートからサマリレポートまで目的によって使い分けが可能で、PCI DSS要件への対応状況が一目でわかるレポート機能も高く評価しました。PCI DSSの審査でも、Vexから出力されたレポートをQSA(審査機関)に提出したりと活用することができています。
メンバーの入れ替わりがあっても迷わず、長く使い続けられる製品の使いやすさはビジネスパートナーが脆弱性検査を実施する効率を考えても非常に重要なポイントになります。教育にかかるコストも加味した上で、最終的にVexの導入を決定しました。
約半年間の検討期間、その後、約半年間のシステム構築期間を経て、2014年にVexを導入しました。現在、Vexは私たちの部署で開発を進めているWebAPI基盤プロジェクトをはじめ、複数のWebアプリケーション開発プロジェクトで活用されています。
すでに導入から5年が経ちましたが、導入当初から操作でとまどうことはなく、ビジネスパートナーからも「使い勝手が良い」という高評価を得ています。もちろん、新しいビジネスパートナーの利用開始前にはレクチャーを実施していますが、操作説明会1回だけでみなさんなんなく使いこなしてくれています。
何かわからないことが発生した場合はユービーセキュアさんに問い合わせるのですが、レスポンスがすごく早いので助かっています。繰り返しになりますがサポートの質は圧巻です。
導入して初めて気付いたVexの良さもありました。それはどこに脆弱性の問題があるのか、脆弱性検査結果・レポートから修正すべき箇所の理解がしやすいところです。さらにVexを導入したおかげで、PCI DSSの認定取得・維持する負荷も大きく削減されました。
いずれにしても弊社としての最大の成果はセキュリティ品質の統一ができたこと。またもう一つの目的であったコスト削減についても、これまでプロジェクトごとにライセンスを購入していたときと比べて、数千万円規模のコスト削減効果は出ていると思います。
最近では開発中のWebAPI基盤の脆弱性検査にもVexを活用しています。API基盤は社内外のさまざまなシステムとつながる重要なゲートウェイ基盤なので、Vexを使ってさらにセキュアなものにできればと期待しています。
世の中の流れと同様、当社でもクラウドファーストを掲げています。今後、Vexをクラウドで活用することも検討しています。ユービーセキュアさんには、今のオンプレミス型からスムーズに移行できるような仕組みのご提案を期待しています。