テスターの負荷を削減し、品質の高い診断を実現してCMS製品を差別化。診断ツールに投資する価値は十分にあると判断したシフト。

フリーツールを用いたセキュリティ診断では時間と手間が課題に

今やWebサイトは、ありとあらゆる企業にとって顧客とつながり、製品・サービスを販売する重要なプラットフォームです。シフトは、高度なカスタマイズが可能なCMS「SITEMANAGE」を活用し、国内900社以上のWebサイト・システムを構築してきました。

中には個人情報を扱うシステムも少なくありません。顧客側も、セキュリティ対策を当たり前のように期待するようになっています。そこでシフトでは、開発プロセスの最終段階に当たるテストの中で、機能や画面遷移などのチェックに加え、オープンソースのセキュリティ診断ツール「ZAP」を用いて脆弱性を検査し、深刻な問題が存在しないことを担保した上で納品してきました。

ただ、ZAPには、運用上いくつか問題がありました。テスターの責任者を務める加藤冴氏は「フリーということもあってか、診断に数日単位の時間がかかり、時には検査の途中でアプリケーションが落ちてしまうこともありました」と振り返ります。

レポート機能も付属していましたが、出力内容は非常にシンプルでした。「英語ということもあり、具体的にどのページにどういったパラメータを入力すると、どんなリプライが戻ってきたかを理解するのが難しいと感じていました」（加藤氏）

さらに、修正後の再診断時には一から診断シナリオを作成する必要もあり、少なくない手間と時間を要する状態だったのです。

コストと使いやすさに加え、実績と信頼性を評価しVexを選択

シフトではこうした背景から、より使いやすい診断ツールを探し始めました。そのままZAPを使い続けることも視野に入れていましたが、いくつかの条件を元に選択したのがVexでした。

検討に当たってまず重視したのは、コストがかさまないことです。多数のWebサイトを開発し、検査する必要があるシフトにとって、そのつど料金が発生する外部の診断サービスやツールは使いにくいのが実情でした。その点、一定のライセンス料金を支払えば、任意のタイミングで何度でも診断を実施できるVexは導入しやすいものでした。

2つ目のポイントは、診断に要する時間を削減でき、テストチームの負荷を減らせることです。セキュリティ診断の部分に予想外の時間がかかってしまうと、開発プロジェクト全体の進捗にも影響を及ぼしかねません。迅速に、また必ずしもプログラミング経験者ばかりではないテスターでも手間をかけずに診断できるツールが望ましく、操作性に優れるVexは高評価でした。

3つ目のポイントは、診断ツールとしての信頼性の高さです。比較した他のツールの中には、そもそも脆弱性診断エンジンを自社で開発していないものもあり、結果に信頼を置きにくいと考えました。Vexは、独自エンジンによってZAPでは見つけにくい脆弱性も検知できる上、定期的なアップデートが重ねられています。経済産業省の「情報セキュリティサービス基準適合サービスリスト」に例示されており、中にはVexを使ってセキュリティ診断を行っている顧客がいる実績も重視し、信頼できるツールだと判断しました。

「テスターの負荷が下がり、品質の高い脆弱性診断が実現できるならば、お金をかける価値はあると判断しました」（設計チーフ　海老澤崇夫氏）

一ヶ月程度実施したトライアルでも、ZAPでは時間がかかりすぎて途中で落ちてしまうようなサイトを対象にしても、思った以上に短時間で診断を終えることが確認できました。さらに「自動巡回で拾いきれなかった部分については、手動巡回を組み合わせ、全体を診断できる点が非常に便利だなと感じましたし、全体としてテスターの負荷が軽くなると期待できました」（加藤氏）

テスターの負荷軽減に加え、SITEMANAGEの差別化にも寄与

シフトでは2023年5月からVexを導入し、正式に稼働し始めました。11名からなるテスター全員に操作方法やレポート形式について共有し、スムーズに切り替えることができました。育休でしばらく現場から遠ざかっていた藤吉皓介氏は、「復帰したらすでにVexが運用されている状態でしたが、ドキュメントやFAQなどサポート情報を見ていけば大丈夫というわかりやすさがありました」と述べています。

移行に当たっては、メールでの問い合わせや充実したサポートサイトの内容に加え、必要に応じてオンラインでレクチャーを受けることで疑問点を解消しました。「ZAPでは、意図が不明瞭なまま、見よう見まねで設定していた部分もありましたが、Vexでは『何のために必要な設定か』を理解した上で検査を行えています」（加藤氏）

以前は課題となっていた診断時間も大きく削減できました。サイトの構造にもよりますが、2日程度要していたのが、半日程度にまで短縮されています。「夕方に診断をかけ始めて帰宅し、次の日出社してきたときには終わっています」（加藤氏）

診断時間が短縮され、余裕ができた分、スケジュールに関するプログラマーとの折衝もやりやすくなりました。また、診断が全体の何パーセント程度進んでおり、あと何時間かかるかという目安が表示される点も、テスターのストレスを減らしています。

実際に使い始めて特に実感しているのは、検査結果を羅列するのではなく、プログラマー向けの細かな付属資料も合わせて出力されるレポートのわかりやすさと、修正後の再検査の容易性です。

「ZAPでは、再検査時にまた一から画面を全部読み込み、シナリオを作成する必要がありました。Vexでは一度作成したシナリオをプロジェクトとして保存しておけるため、ボタン一つで再診断ができ、非常に楽になりました」（加藤氏）

また、Vexのシナリオ作成機能ではサイト構成が画面キャプチャを用いた画面遷移図で表示されます。これを手元の画面遷移図と比較することによって、診断に抜け漏れがないかを確認でき、もし抜け落ちた部分があれば手動巡回によって全体をチェックできることも、網羅性を求められるテスターにとって非常に便利な機能です。

無償のツールから有償のVexへと移行したシフトですが、現場の負荷軽減はもちろん、脆弱性が少なくセキュリティに強いCMSとしてSITEMANAGEを差別化できるという意味で、経営層も含めその投資に納得しているといいます。

「SITEMANAGEで作るWebシステムについては基本的にすべてVexによる診断を実施することにしています。これにより、お客様により安心して使ってもらえるCMSになると考えています」（海老澤氏）

今後は、納品後のWebシステムに対しても継続的に診断を行い、SITEMANAGEの付加価値を高めていくアプローチも検討していきます。新たな脆弱性が次々と指摘される中でも、Vexを活用し、最新の脅威に対応していきます。