タワーレコードでは、音楽情報サイトやオンラインショップ、レーベルサイトなど、多数のWebサイトを運営しています。
中でも膨大な画面数から構成されるオンラインショップは、キャンペーン情報が頻繁にアップデートされる他、ユーザーごとに表示されるクーポンやポイント付与機能、様々な支払い方式に対応した決済機能などを含有しており、様々なシステムが複雑に絡んだ巨大ECサイトになっています。
さらに今後新サービスの展開も計画していく中で、定期診断の範囲を拡大し、頻度や回数も見直したいと考えていましたが、外部ベンダーに脆弱性診断を発注するには、検討~稟議~発注~準備~実施と長い時間が必要で、全てのWebサイトに実施するためには莫大なコストが見込まれるため容易ではありませんでした。
そこで、全てのサイトに対して適切なタイミング・頻度での診断実施を目指し、2022年9月頃から診断内製化についての検討を開始しました。
アドバイザーをお願いしている外部企業に診断内製化を検討していることを相談したところ、候補としてVexを含む3つの診断ツールを勧められました。
3つのツールの機能や価格を比較しながら自分たちに必要なツールについて検討を進める中で、私たちが最も重視したのは「専門的なセキュリティ知識やスキルがない自分たちにも、外部診断と同じクオリティで診断できるか?」という点です。
これまでは外部セキュリティベンダーから提出された診断レポートを、Webサイトの運用・保守を依頼しているシステムベンダーに連携し対応方針を協議していましたが、診断を内製化するのであればシステムベンダーに渡すその診断レポートも、自分たちで用意することになります。専任スタッフではない我々がこれまでと同じく適切な対応ができるレベルの診断レポートを準備できるかが肝でした。
そして、最終的には “日本製”ということが、Vexを選択する大きな決め手となりました。
診断ツールの多くは海外製品ですが、セキュリティ基準は国ごとに異なります。Vexのように日本製の診断ツールであれば、日本独自のセキュリティ基準にしっかりと適応しているため安心して利用することができます。また、日本企業のサービスだからこそ、“問い合わせ時に日本語でサポートデスクのサービスが受けられる”という点も、私たちの不安を払拭するポイントとなりました。
さらに費用面においても、海外製品は初年度の利用料金が抑えられている一方で、2年、3年…と継続するに連れて、利用料金が段々と上がっていくサービスも少なくありません。長期的に使用することを考えると、利用料金に毎年の変動がないVexのほうがリーズナブルでした。
VexについてWebサイトを通じてユービーセキュアへ問い合わせたところ、本導入前にトライアル利用を提案いただき、実際にVexを操作することができました。非常に使いやすいUIで、細かな不明点についても担当の方と打ち合わせを重ねながら、手厚く柔軟にサポートしていただき、使い勝手や機能についてもしっかり確認できました。
当社ではこれまで最低年1回の頻度で脆弱性診断を実施してきました。毎年秋頃をターゲットとしていましたが診断内製化を検討し始めたのが9月でしたので、「さすがに今年度には間に合わないだろう」と考え、初年は例年通り外部ベンダーに依頼し、内製化は来年から…と計画していました。
しかし、外部への発注に伴う稟議や様々な検討事項、関係部署を巻き込んだ日程調整などが不要で、想像以上にスピーディに進められたことで、導入後に即時診断を実施し、完了することができました。
事前に懸念していた“診断レポートのクオリティ”についても、これまで外部ベンダーから提出されていたレポートと比べて、指摘内容、それに対する対策の提示内容、共に遜色ないレベルのレポートが出てきたことに驚きました。Webサイトの運用・保守を依頼しているシステムベンダーの担当者にも確認してもらいましたが、これまで通り対応できるという回答で安心しました。
トライアルで大きな手ごたえを得て、当社では2023年2月よりVexの本格導入を開始していますが、実際に外部ベンダーに依頼していたのと遜色ない診断が、自分たちでできるようになり大変満足しています。
今後新サービスの展開なども予定しています。Vexの利用について慣れない箇所や不明な点はこれまで通りサポートいただきながら、診断対象サイトの拡大と診断頻度・回数の増加を進めていきたいと考えています。また年々多様化するサイバー攻撃トレンドのキャッチアップや対策については、私たちだけでは追い切ることができないので、ぜひユービーセキュアのプロの皆さんからトレンドを踏まえたセキュリティ対応策等についてもアドバイスをいただけると嬉しいですね。