グループ1万人の技術者を有し、高い技術力と提案力に定評のある富士ソフトでは、これまでお客様やプロジェクトの要件に合わせてセキュリティ対策や脆弱性への対応を行ってきました。さらに、近年多発する脆弱性攻撃による情報漏洩やシステム破壊等に対抗するため、全社統一のセキュア開発・脆弱性検査ルールの策定を行うことを決定しました。
全社のセキュリティ対策強化を担う役割としてセキュリティエンジニアリング部(現・技術管理統括部セキュリティマネジメント部)が設立され、脆弱性検査ルールの中核を担うツールにはVexを選定しました。Vexによる脆弱性検査がルール化されたことで、社内システムも含めた全社レベルでのセキュリティ向上とお客様への提案力強化を実現しています。
技術管理統括部
セキュリティマネジメント部 部長
渡辺 露文 様
技術管理統括部
セキュリティマネジメント部
セキュリティ技術推進室 エキスパート
水戸部 一貴 様
※所属部署、肩書などは取材当時のものです。
富士ソフトは組込系システム開発や業務系システム開発、プロダクト事業などのビジネスを国内外で展開している独立系ICTソリューションベンダーです。当社には「ひのき(品質・納期・機密保持)」という精神があり、全社に浸透しています。このなかでも「機密保持」は、コンピュータウィルスやサイバー攻撃による情報漏洩が多発している近年、特に重要なテーマの一つになっています。
Webサイトの脆弱性への攻撃に起因する情報流出が目立つようになった2013年頃から、当社では社内向けに脆弱性に関するセミナーを実施するなど、脆弱性対策に関する意識向上に努めてきました。脆弱性対策の一つとして、リリース前検査等の実施を推奨していましたが、実施の要否とそのレベルは各プロジェクトに委ねられており、セキュリティレベルにばらつきが生じていました。また、実施の手段は「外部の脆弱性診断ベンダに委託」、または「プロジェクトメンバが内製で実施」のいずれかであり、プロジェクトによってはコストや技術面が課題となるケースもありました。
2017年のStrutsの脆弱性問題により、さまざまな企業が被害を受けました。当社もこの問題への対応の中で、脆弱性検査の義務化を含む「セキュア開発の全社統一ルールの策定」が決定されました。
脆弱性検査のツールとしてどれを選ぶか。Vexを含め3つのツールが選択肢に上り、実際のプロジェクトに導入してその使い勝手や検査精度などを比較検証しました。その結果、選んだのがVexです。
決め手は、日本語レポートとUIのわかりやすさでした。当社では組込システム開発の技術者もIoTなどに関連してWebシステムを開発する機会が増えていますが、Webアプリケーションの脆弱性にも詳しい技術者ばかりではありません。VexはWebアプリケーションやその脆弱性に詳しくない開発者にもわかりやすい日本語レポートが出力され、脆弱性への対応や対策方法といった情報まで提供してくれるところが大きな決め手となりました。しかも、レポートは品質が高くそのままお客様に見せることができるため、レポート作成の工数も削減でき、プロジェクト全体の生産性向上にも貢献できると考えました。
ヘルプやマニュアルがVex上からすぐ閲覧できるなど、わかりやすいUIが提供されていることは、今後、技術者を育成する上でも大事だと考えています。また、使い勝手の良さに加え、誤検知が少ないなど精度の高さも選定の大きな理由となりました。
脆弱性検査を導入する構想は2013年からありましたが、本格的に導入を決定してから、2ヶ月程度で実運用に至りました。2017年のStruts問題を契機とする経営層の理解もあり、導入に至るスピードは早かったです。導入後はスムーズにシステムを立ち上げることができました。不明な点などはユービーセキュア社のサポートに問い合わせれば、スピーディに対応していただけます。サポートの良さも、Vexを高く評価するポイントです。
また、当社ではVexを利用した脆弱性検査で2つの運用形態を用意しました。一つはソフトウェアの品質を検査するテストチームがある沖縄開発センターと技術管理統括部セキュリティマネジメント部が共同で立ち上げた「社内向け脆弱性検査サービス」を利用する方法、もう一つはプロジェクトにVexを貸し出して開発者自らが検査するという方法です。いずれも社外に情報を共有する手間やリスクを抑えることがメリットです。後者の場合は、技術管理統括部セキュリティマネジメント部が開発者向けに脆弱性診断の基礎からレクチャーを行っています。
Vexの導入効果の第一は、適切なコストとスキルで脆弱性検査ができるようになり、さらに、脆弱性検査が義務化されたことで、システム開発の品質が向上したことです。第二は、開発者のセキュア開発への意識が高まったことです。Vexは、例えばクロスサイトスクリプティング(XSS)の脆弱性があると、スクリーンショットを自動出力します。開発者はそれを見ることで脆弱性についてぼんやりとしかわかっていなかったことが具体化され、理解できるようになります。プロジェクト全体の意識が高まることで、お客様への新たな提案にもつながり、「セキュリティを含めた提案をしたい」「同行してお客さまに詳しい説明してほしい」などの相談も増えています。
当社は近年、AI、IoT、Security、Cloud、Robot、Mobile&autoMotiveの頭文字をとった、「AIS-CRM」(アイスクリーム)戦略を推進しています。この7分野が当社が注力しているビジネス領域です。特に、セキュリティ関連ビジネスでは、脆弱性検査が重要なポジションとなるので、今後はそこでもVexを活用していきたいと考えています。ユービーセキュア社と密に連携して積極的にVexへのフィードバックをし、両社でセキュリティビジネスを盛り上げていきたいと思います。
富士ソフトは、セキュアなシステム開発・運用を提供する企業として、日本のシステム開発・運用を牽引していきたいと考えています。そのためにも要件定義からシステム・運用テストにいたるさまざまな工程でさらなる高度化を図り、最適なセキュリティの実現を目指してまいります。
富士ソフト
システム開発
株式会社ユービーセキュア
〒104-0045
東京都中央区築地4丁目7番5号 築地KYビル4階
