セキュリティ対策の重要性は感じていたが現場任せであった
当社はメーカーや流通・サービス業から、金融、医療・福祉、公共機関に至るまで2万社を超えるお客様と取引実績がある、ICTサービス企業です。 近年、不正アクセスやサイバー攻撃の脅威が増え続けるなか、セキュリティ対策の重要性を感じてはいたものの、安心・安全なシステム導入は現場任せとなっていました。
お客様の安心・安全を守るために、当社として何ができるのか。そこで当社では、お客様に提供しているシステムの開発・構築におけるセキュリティ確保と有事の際の迅速な対応を図ることを目的に「都築CSIRT」を設置いたしました。
都築CSIRTは大きく2つの活動があります。まずは有事の際の活動です。都築CSIRTを中心とし、社内の関連部署やJPCERTなどのセキュリティ関連機関と連携し、セキュリティインシデントの早期解決を図ります。検知から切り分け、一次対応、影響調査、原因の分析と復旧対応、再発防止策の検討までを担当します。
もう一つは平時における活動です。セキュリティ対策方針の立案から各種ガイドライン類の維持管理、インシデント対応訓練の企画、セキュリティ関連情報の入手と現場展開、そして脆弱性管理のための診断業務等々、セキュリティの確保とインシデントの発生を未然に防ぐための様々な活動を行っています。
都築CSIRT の脆弱性管理の要。
アプリケーション診断にVex を採用
都築CSIRTの平時におけるセキュリティ確保の活動で、要となるのが「脆弱性管理」です。リリース前のアプリケーション診断を自分たちで実施するために、診断ツールの導入を検討することになりました。
これまではお客様システムのセキュリティ対策は現場に任されていたため、当社として統一して使っているツールはありませんでした。そこで、都築CSIRTの体制構築にも関わっていたNRIセキュアテクノロジーズさん(以下、NRIS)から紹介されたツールが「Vex」でした。
当社がVexを選んだ理由は次の通りです。第一に2007年にリリースされて以降、国内シェア1位の実績をあげていたこと。第二に教育メニューが充実していたこと。そして、第三にレポートや保守サポートが国産の製品ならではの安心感があったことです。
特に、開発者へのフィードバックを円滑に行うために国産ならではの読みやすく分かりやすいレポートは、お客様の大半が日本企業である私たちにとって、安心・安全なサービスを提供するうえで重要なポイントでした。また、保守サポートに関しては、Vexの操作だけでなく発見した脆弱性に対するアドバイスなどもいただき、非常に参考になります。問合せをした当日に回答いただくことも多く、迅速に対応いただける点も満足しています。
システム開発時の設計・プログラミングのセキュリティ品質が向上
Vexの定着に向けて、システム開発時の社内規定である「開発標準指図書(セキュリティ編)」にVex診断を組み込み、プロジェクト計画書には診断実施工程を記載させています。開発現場向けチェックシート、都築CSIRT向けのチェックシートなど各ドキュメントを作成・導入し、各会議体でチェックしています。社内への運用周知のため、全国各地での説明会も実施しました。
運用が始まってまだ2年未満ですが、脆弱性管理実現による成果が見えてきています。第一に現場のセキュリティ意識の向上とセキュアな設計・プログラミング品質の向上です。現場では、設計工程から開発標準指図書に基づいて開発を進めており、また、Vex診断の結果を開発者に直接共有する仕組みが運用されています。これらの運用が成果へと繋がっていると考えております。 また、第二にセキュリティとは直接関係しませんが、単体テストで漏れたバグをリリース前に発見したこともありました。Vexは、セキュリティ品質だけではなくシステム開発の品質向上にも貢献しています。
KitFit運用サービス※にSOCを組み込み。現場CSIRTの設置も検討
今後、当社が提供する「KitFit運用サービス※」にSOC(セキュリティ・オペレーション・センター)の仕組みを組み込んでいくことを考えています。このようなセキュリティソリューションをお客様に提供することで、より攻めのビジネスを展開できると考えているからです。現在NRISとの協業のスキームを検討しています。
もう一つ、展開として考えているのが、現場CSIRTの設置です。システム開発現場の担当者がVexでの診断を実施できるよう、Vexの教育トレーニングを活用したVex実施者の増員も予定しています。
診断できる脆弱性が多いのがVexの特徴ですが、シナリオ作成の自動化など、さらなる機能拡充を期待しています。 お客様の安心・安全を守るために、人材開発部と連携した人材育成や社内の体制強化を継続的に行っていき、都築CSIRTを中心としたセキュリティ対策に今後も努めていく所存です。
※KitFit運用サービス https://kitfit.jp/unyou/
ネットワーク・サーバ・PC・スマートデバイスに係るICT基盤の運用全体をワンストップでご提供するサービス
KitFitは都築電気の登録商標です。