Vexを利用する以前はセキュリティ検査が必要な場合、日本国内のグループ企業の遠隔の診断サービスや、インドネシア国内の第三者の診断サービスをスポットで利用していました。しかし、定期的に利用するとコスト負担が重く、また、その結果は実施者のスキルに大きく依存するという大きな課題を抱えていました。コスト的な課題を解決するため内部で無償診断ツールを活用する動きもありましたが、診断結果に対する体系的な確証が得られないなど、当時は期待に見合った成果を得ることはできませんでした。
再度、外部診断サービスの利用も検討しましたが、自分たちが納得いくレベルをとことん追求したかったため、あえて「内製化」することを選択しました。
課題に直面していた時に何かいいツールはないかと調査をしていたところ、Vexの情報にたどり着きました。日本のベンダーが開発したツールであったことも安心できた要因の一つですが、何よりも日本国内で使われている検査ツールで「トップシェア」を誇るということを耳にし、Vexへの期待は自ずと高まりました。
トライアル利用で実際にVexに触れ、導入を決めた大きなポイントは、「自由度の高いレポートを提供」してくれることと、Jenkinsといった「CIツールと連携できること」でした。
Vexは複数種類の検査結果レポートを出力可能で、用途に応じて必要な種類のレポートを作成し使い分けすることができ、大変便利です。中でも自動巡回機能を使って巡回した結果を、「画面遷移図」としてグラフィカルに表示できる機能は視覚的に分析できて理解しやすく、非常に気に入っています。
また、当社では「DevSecOps」のサイクルを完成させるため、JenkinsをはじめとするCIツールとの連携を将来的に予定していたため、Jenkinsとの連携は導入に欠かせないポイントでした。「DevSecOps」のサイクルに組み込むことにより、システム構築作業の上流工程からシステムのセキュリティを向上させることができ、当社が目指す効率的なセキュリティ向上の活動と親和性が高いと考えました。
その他にも特定の検査パターンのみを選択して検査が実施可能であることも気に入っています。頻繁に使用するリクエストや、テスト内容に応じて実施する検査パターンを取捨選択してカスタマイズし、後から手軽に呼び出して検査に使用可能なよう保存しておくことができる機能はとても便利だと感じました。
Vexの導入前後で大きく変化した点は、「組織全体のセキュリティ意識が向上」したことです。自社のクラウドパッケージソリューションのセキュリティ品質を向上させることが目的でしたが、結果として組織全体がセキュリティに対して敏感になり、セキュリティ情報の収集を行うことを当たり前の活動として捉えることが出来る組織体へと変化しました。
このようにセキュリティ意識が醸成されたことで、様々な部門が絡む開発工程を経ていても、高いセキュリティレベルが担保されています。
また、こういった自社のセキュリティ内製化に成功した要因としては、メールでのサポートや、遠隔テレビ会議でのサポートを頻繁に提供していただいたことも一つです。ツールだけでなく、セキュリティ専門家からのアドバイスが得られたことが大きいです。今後とも、サポートの皆さんにはユーザーに近い距離にいてほしいですね。
インドネシア企業はインドネシア政府からより高度なセキュリティ基準を保つよう奨励されていますが、いまだセキュリティ意識が追い付いていない企業が多いのが現状です。
しかし、私たちはグローバルITサービスプロバイダとして、世界的な流れに目を向け、インドネシア国内においてもきたるセキュリティセントリックな社会へスムーズな対応できるよう高セキュリティ水準を保った製品やサービスを市場へ提供し続け、インドネシア社会全体のセキュリティレベルの底上げに貢献することを目指しています。