開発プロセスの中にVexを組み込み、アップデートのたびに脆弱性検査を実施。
リリース前の段階で脆弱性を発見、修正し、顧客からの信頼性向上につなげる。

毎月のように行われる機能追加やアップデート、「年に一回の検査では、足りない」

パソナ、パーソルテンプスタッフ、リクルートスタッフィングという国内の大手3社が立ち上げた株式会社イー・スタッフィングは、派遣社員の契約管理から勤怠管理、請求管理といった派遣会社とのやり取りを一本化する「e-staffingシステム」の開発、運用を担ってきました。e-staffingシステムがサービス提供開始した2003年当時から「人材派遣管理システムのデファクトスタンダード」を目指し、開発パートナーとともに継続的に開発を進めています。

e-staffingシステムは、サービス提供開始からもうすぐ早20年。繰り返される法改正や、顧客企業や派遣スタッフのニーズに応えるため、新たな機能の追加や改修を繰り返してきました。改修の積み重ねにより、一部の機能はシステムが複雑化し、一箇所に手を入れると思いも寄らぬところに不具合が出てしまう恐れがあります。また、使い勝手の進化したモダンなユーザーインターフェイスにしたくても、見た目と内部の機能とが密に結合しているため、ちょっとした改修にも多くの手間がかかる場合があるのです。

それらの課題を解決するため、2018年からe-staffingシステムの根本的な作り直しに着手しています。ユーザーの多さや課題の多さなど、優先度の高い順に構造を作り替えている最中です。

e-staffingシステムでは、派遣スタッフの契約情報や勤怠情報など、機密情報もお預かりします。このためセキュリティも重要な要素として取り組んできました。2004年2月にはISMSを、その後プライバシーマークも取得し、現在も運用しています。

お客様側のセキュリティに対する目も年々厳しさを増しており、導入に当たって「個人情報の取り扱い方法」を確認するチェックリストをいただくことや、監査を受けることもあります。そうした経験の中で、「お客様はこういうところを気にされるのだな」という気付きも得て、日々のレベルアップにつなげています。

業界のデファクトスタンダードを目指す弊社は、競合となるサービスの一歩先をいく水準を目指してセキュリティ対策に取り組んできました。その1つが、Webアプリケーションの脆弱性対策です。

弊社がe-staffingシステムをリリースした当時から、SQLインジェクションをはじめとするWebアプリケーションを狙った攻撃は脅威として認知されていました。弊社は「自分たちで勉強し、備えるだけでは足りない。専門家の目が必要だ」と判断し、年に一回、外部の専門業者に脆弱性検査を依頼し、その結果に基づいて対応する取り組みを行っていました。

しかし先ほどご説明したとおり、e-staffingシステムの改修頻度は非常に高く、毎月のように何らかのアップデートを行っています。脆弱性検査を行って問題を洗い出しても、翌月にはもう、アプリケーションは姿を変えているのです。「これは年に一回の検査では足りないのではないか」という議論が社内で起こるようになりました。

開発プロセスにVexを組み込み、改修のたびに検査を実施

年に一回か二回、外部の検査を受けるだけで事足れりとするのではなく、改修のタイミングに合わせ、その都度自分たちで脆弱性をチェックしていく必要があるのではないか——そう考えていた我々が選択したのが「Vex」でした。既にVexを利用していたユーザーから「こんないいものがあるよ」と紹介いただいたことがきっかけです。

開発パートナーとともに、オープンソースのツールも含めて複数の脆弱性検査ツールを比較検討しましたが、使い勝手が良く、継続的な運用が可能だと判断し、Vexの採用を決定しました。

現在、弊社の「標準開発プロセス」に、Vexを用いた「脆弱性検査」の工程を設けています。開発パートナーとともに計画を立案し、改修を行った部分についてテストを実施し、結果報告を受けてレビューを行います。

脆弱性検査の結果報告書には「Vexからの指摘」が一覧表示されます。その中から過剰検知のものを排除し、脆弱性の深刻度はもちろん、実際に悪用される条件や被害が発生した際のリスク、対応工数などを踏まえて優先順位を付けて、開発パートナーと共有します。そして、修正すべき問題が修正され、Vexの検査をクリアしたことを確認した上で納品物を検収します。

並行して、専門家による脆弱性検査も年に一度実施しています。毎月改修に合わせてVexによる検査を実施しつつ、改修の手が入らなかったその他の部分については、外部の専門業者による全体的な検査でカバーしています。

Vexの導入以来、約10年が経ちますが、サポート窓口にはとても密に連絡をいただいています。メジャーバージョンアップの際にはセミナーのご案内をいただき、丁寧に説明をいただきました。おかげでバージョンアップも円滑に進み、大変助かっています。

リリース後ではなく開発工程の中で問題を見つけ、製品に対する信頼につなげる

もしかすると、セキュリティ検査のためにわざわざ工程を一つ増やすなんて…と感じる方がいるかもしれません。しかし、万一アプリケーションをリリースした後に脆弱性が発覚し、ユーザーから指摘されたり、さらには攻撃されるようなことがあれば、サービスに対する信頼を大きく損なうことになります。工程がワンステップ増えても、Vexを用いて事前に脆弱性を発見できるのは非常に大きな意味があることです。100%完璧なものを作ることは難しいですが、100%にするための取り組みを継続し、製品の信頼性を高めていきたいと考えています。

また、お客様から弊社の体制に関するチェックリストやヒアリングシートをいただき、「どのようなサイクルで脆弱性検査を回していますか」と尋ねられたとき、明確に「開発プロセスに脆弱性検査の工程を設け、Vexを用いて定期的な検査を行っています」と、お客様に安心していただける回答ができるようになったことも大きな成果です。

開発パートナー側でも、Vexの使い方について手順書だけでなく解説動画を作るなどして、チーム内で周知を図ってきました。また、過去の脆弱性検査レポートを参考に、「こんな側面から評価をすべきではないか」といった事柄を学び、開発とテスト工程のブラッシュアップを進めてきています。

一般的には、外部に開発を依頼した成果物の検収工程で、受け入れ側が脆弱性検査を行うケースが多いと思います。弊社は、Vexを開発工程の中に埋め込み、検査で合格したものを検収する、というプロセスをつくりました。開発パートナーにとっても、Vexによって「こういう書き方をすると、こんな問題が生じる」という結果が目に見えるようになり、開発に携わるエンジニアのセキュリティ意識やリテラシーの向上など、教育の一端を担う効果も出て、継続的な改善につなげることができています。振り返ってみれば、このプロセスをつくったことは間違いの無い判断だったと確信しています。

Vexにも支えられ、これからも日々進化し続ける「e-staffingシステム」

重要性は高いが緊急性が低い脆弱性のいくつかは「今すぐの修正ではなく、大型アップデートの際に対応する」と判断したものありました。それらは、現在進めているリニューアル開発の中で順調に対応を進めています。これまでのVexによる検査で蓄積されたナレッジに基づき、システム基盤をよりセキュアに構築することができています。セキュリティを担保する仕組みを基盤部分にあらかじめ組み込み、その基盤の上で開発したアプリケーションに、万一脆弱性やバグがあったとしても、影響をゼロもしくは最小限に食い止められることを目指していますが、今回のリニューアルは、そうした根本的なセキュリティを組み込む機会としても捉えており、また今後も陳腐化しないよう、継続して見直しを行っていく予定です。

労働環境やお客様のニーズ、派遣労働を巡る法体系も日々変わっていきます。そのような動きに遅れを取ることなく、e-staffingシステムは日々進化を続けていきますし、Vex はe-staffingシステムの進化に欠かせない要素の一つと言えます。Vexにも最新の動向や情報を取り込み、進化を続け、これからもe-staffingシステムを支えていってほしいと思います。

社名：株式会社イー・スタッフィング
URL：https://www.e-staffing.co.jp/
設立：2002年10月
事業内容：人材派遣管理システム「e-staffing」の開発および運用