お客様の安心・安全を守るために、当社として何ができるのか。そこで当社では、お客様に提供しているシステムの開発・構築におけるセキュリティ確保と有事の際の迅速な対応を図ることを目的に「都築CSIRT」を設置いたしました。
都築CSIRTは大きく2つの活動があります。まずは有事の際の活動です。都築CSIRTを中心とし、社内の関連部署やJPCERTなどのセキュリティ関連機関と連携し、セキュリティインシデントの早期解決を図ります。検知から切り分け、一次対応、影響調査、原因の分析と復旧対応、再発防止策の検討までを担当します。
もう一つは平時における活動です。セキュリティ対策方針の立案から各種ガイドライン類の維持管理、インシデント対応訓練の企画、セキュリティ関連情報の入手と現場展開、そして脆弱性管理のための診断業務等々、セキュリティの確保とインシデントの発生を未然に防ぐための様々な活動を行っています。
これまではお客様システムのセキュリティ対策は現場に任されていたため、当社として統一して使っているツールはありませんでした。そこで、都築CSIRTの体制構築にも関わっていたNRIセキュアテクノロジーズさん(以下、NRIS)から紹介されたツールが「Vex」でした。
当社がVexを選んだ理由は次の通りです。第一に2007年にリリースされて以降、国内シェア1位の実績をあげていたこと。第二に教育メニューが充実していたこと。そして、第三にレポートや保守サポートが国産の製品ならではの安心感があったことです。
特に、開発者へのフィードバックを円滑に行うために国産ならではの読みやすく分かりやすいレポートは、お客様の大半が日本企業である私たちにとって、安心・安全なサービスを提供するうえで重要なポイントでした。また、保守サポートに関しては、Vexの操作だけでなく発見した脆弱性に対するアドバイスなどもいただき、非常に参考になります。問合せをした当日に回答いただくことも多く、迅速に対応いただける点も満足しています。
運用が始まってまだ2年未満ですが、脆弱性管理実現による成果が見えてきています。第一に現場のセキュリティ意識の向上とセキュアな設計・プログラミング品質の向上です。現場では、設計工程から開発標準指図書に基づいて開発を進めており、また、Vex診断の結果を開発者に直接共有する仕組みが運用されています。これらの運用が成果へと繋がっていると考えております。 また、第二にセキュリティとは直接関係しませんが、単体テストで漏れたバグをリリース前に発見したこともありました。Vexは、セキュリティ品質だけではなくシステム開発の品質向上にも貢献しています。
もう一つ、展開として考えているのが、現場CSIRTの設置です。システム開発現場の担当者がVexでの診断を実施できるよう、Vexの教育トレーニングを活用したVex実施者の増員も予定しています。
診断できる脆弱性が多いのがVexの特徴ですが、シナリオ作成の自動化など、さらなる機能拡充を期待しています。 お客様の安心・安全を守るために、人材開発部と連携した人材育成や社内の体制強化を継続的に行っていき、都築CSIRTを中心としたセキュリティ対策に今後も努めていく所存です。
※KitFit運用サービス https://kitfit.jp/unyou/
ネットワーク・サーバ・PC・スマートデバイスに係るICT基盤の運用全体をワンストップでご提供するサービス
KitFitは都築電気の登録商標です。