お問い合わせ
お問い合わせ

CASE

導入事例

  • HOME
  • 導入事例
  • Webアプリケーション脆弱性検査ツール「Vex」の導入事例|NTTデータインドネシア様

自社パッケージソリューションに対するスピーディーなセキュリティ品質の向上を目指し、インドネシア企業として初めてVexを導入

NTTデータインドネシア

ITサービス

https://www.nttdata.com/id/en

導入したサービス

webアプリケーション脆弱性検査ツールVex

PDF版をダウンロードする

導入企業様のご紹介

グローバルITサービスプロバイダーとして、インドネシアで日系グローバル企業の海外現地法人やインドネシア国内リーディング企業に対して、ITを活用した業務システム導入のコンサルティングや構築/運用サポートサービスを行っているPT. NTT DATA Indonesia(NTTデータインドネシア)。同社は、自社提供のクラウドソリューションのセキュリティ品質の向上を目指してVexを導入しました。現在は、インドネシアにおいてグローバル水準のセキュリティ要件を満たすソリューションを提供し、インドネシア社会全体のセキュリティレベルの底上げに貢献するような事業活動にまい進しています。

case-img13-2
Director

萩田 和彦 様

case-img13-3
DevOps Engineer

Sony Harianto 様

※所属部署、肩書などは取材当時のものです。

課題

  • 外部診断サービスでの定期的な検査実施はコスト負担が重く、その結果は実施者のスキルに大きく依存していた
  • コスト削減のために無償診断ツールを活用していたが、診断結果に対する体系的な確証が得られなかった

得られた効果

  • 検査精度の高さと自由度の高いレポート機能を備え、日本でトップシェアでもあるVexを採用し、セキュリティ検査の内製化を実現
  • 組織全体がセキュリティに対して敏感になり、セキュリティ情報の収集を行うことを当たり前の活動として捉えることが出来る組織体へと変化した

目次

    インドネシアにおいてグローバル水準のセキュリティ品質を目指す必要性

    case-img13-4NTTデータインドネシアは、主に金融業、および製造業にITサービスを提供しているグローバルITサービスプロバイダーです。日系グローバル企業現地法人を中心に、多数の企業に提供している社員福利厚生のクラウドサービスを担当するなか、人事給与情報管理システムの「HR-Zero」の開発では、人事情報というとりわけ確度の高い機密性が求められる情報を扱うため、これまでのセキュリティレベルをさらに一段引き上げ、かつグローバル水準のセキュリティレベルを持ってサービスを提供する必要があるという考えに至りました。
    Vexを利用する以前はセキュリティ検査が必要な場合、日本国内のグループ企業の遠隔の診断サービスや、インドネシア国内の第三者の診断サービスをスポットで利用していました。しかし、定期的に利用するとコスト負担が重く、また、その結果は実施者のスキルに大きく依存するという大きな課題を抱えていました。コスト的な課題を解決するため内部で無償診断ツールを活用する動きもありましたが、診断結果に対する体系的な確証が得られないなど、当時は期待に見合った成果を得ることはできませんでした。
    再度、外部診断サービスの利用も検討しましたが、自分たちが納得いくレベルをとことん追求したかったため、あえて「内製化」することを選択しました。

    自由度が高いレポートとCIツールとの連携を提供するVexを採用

    課題に直面していた時に何かいいツールはないかと調査をしていたところ、Vexの情報にたどり着きました。日本のベンダーが開発したツールであったことも安心できた要因の一つですが、何よりも日本国内で使われている検査ツールで「トップシェア」を誇るということを耳にし、Vexへの期待は自ずと高まりました。
    トライアル利用で実際にVexに触れ、導入を決めた大きなポイントは、「自由度の高いレポートを提供」してくれることと、Jenkinsといった「CIツールと連携できること」でした。
    Vexは複数種類の検査結果レポートを出力可能で、用途に応じて必要な種類のレポートを作成し使い分けすることができ、大変便利です。中でも自動巡回機能を使って巡回した結果を、「画面遷移図」としてグラフィカルに表示できる機能は視覚的に分析できて理解しやすく、非常に気に入っています。
    また、当社では「DevSecOps」のサイクルを完成させるため、JenkinsをはじめとするCIツールとの連携を将来的に予定していたため、Jenkinsとの連携は導入に欠かせないポイントでした。「DevSecOps」のサイクルに組み込むことにより、システム構築作業の上流工程からシステムのセキュリティを向上させることができ、当社が目指す効率的なセキュリティ向上の活動と親和性が高いと考えました。
    その他にも特定の検査パターンのみを選択して検査が実施可能であることも気に入っています。頻繁に使用するリクエストや、テスト内容に応じて実施する検査パターンを取捨選択してカスタマイズし、後から手軽に呼び出して検査に使用可能なよう保存しておくことができる機能はとても便利だと感じました。

    一つのビジネスユニットから全社的なセキュリティ意識の向上へ

    case-img13-5当初は所属しているビジネスユニットが提供するクラウドサービスのセキュリティ品質の向上を目指してVexを導入しました。その後、社内全体のクラウド環境を設計、運用する部門へ異動となり、単体サービスの限定されたスコープだけでなく、クラウド環境上に稼働する全てのサービスに展開することになり、異動先でもそれまでと変わらぬセキュリティレベルの引上げ活動を行っています。
    Vexの導入前後で大きく変化した点は、「組織全体のセキュリティ意識が向上」したことです。自社のクラウドパッケージソリューションのセキュリティ品質を向上させることが目的でしたが、結果として組織全体がセキュリティに対して敏感になり、セキュリティ情報の収集を行うことを当たり前の活動として捉えることが出来る組織体へと変化しました。
    このようにセキュリティ意識が醸成されたことで、様々な部門が絡む開発工程を経ていても、高いセキュリティレベルが担保されています。
    また、こういった自社のセキュリティ内製化に成功した要因としては、メールでのサポートや、遠隔テレビ会議でのサポートを頻繁に提供していただいたことも一つです。ツールだけでなく、セキュリティ専門家からのアドバイスが得られたことが大きいです。今後とも、サポートの皆さんにはユーザーに近い距離にいてほしいですね。

    インドネシア社会全体のセキュリティレベルの底上げに貢献

    case-img13-62016年からインドネシア政府も個人情報保護やそれらの情報管理をはじめとしたセキュリティに関する規制を設けることで社会全体におけるセキュリティ対策を促進しています。
    インドネシア企業はインドネシア政府からより高度なセキュリティ基準を保つよう奨励されていますが、いまだセキュリティ意識が追い付いていない企業が多いのが現状です。
    しかし、私たちはグローバルITサービスプロバイダとして、世界的な流れに目を向け、インドネシア国内においてもきたるセキュリティセントリックな社会へスムーズな対応できるよう高セキュリティ水準を保った製品やサービスを市場へ提供し続け、インドネシア社会全体のセキュリティレベルの底上げに貢献することを目指しています。

     

    case-img13-7

     

    導入したサービス

    neo_vex_logo

    webアプリケーション脆弱性検査ツールVex

    優れた弱性検出率を有する、純国産のWebアプリケーション脆弱性検査ツールです。2007年のリリース以来、弊社診断チームや各セキュリティベンダーからの数千サイトに及ぶ診断実績をフィードバックし、常に進化を続けています。

    NTTデータインドネシア

    ITサービス

    URL:https://www.nttdata.com/id/en

    PDF版をダウンロードする

    株式会社ユービーセキュア

    〒104-0045
    東京都中央区築地4丁目7番5号 築地KYビル4階

    • twitter
    • facebook
    • in
    Copyright (c)UBsecure Inc. All Rights Reserved.