ここがポイント!
・診断コストを削減しながらも、望むタイミングで気軽に診断を実施
・しっかりとしたサポートで、初めてのスタートでも安心
・エンタープライズ企業が求めるセキュリティレベルを確保
割高感のある外部サービス以外の選択肢を模索
人材の採用から定着、活躍をワンストップで支援するTake Actionでは、必然的に採用候補者など多くの個人情報を扱います。このため、企業規模に関係なくプライバシーマークやISMS認証を取得するなど、セキュリティ対策に力を入れてきました。
「一度でもインシデントが起こればお客様の信頼はがた落ちとなり、元に戻すのも難しくなります。そのような大きなマイナスを生まないことが、ビジネス上大事なことだと考えています。ただ、ビジネススピードが落ちてしまうようでは本末転倒です。セキュリティとビジネスのバランスを取り、スピードが落ちない範囲で投資をしてきました」
具体的には、ISMSでも求められる組織・体制の整備に始まり、SaaSの基盤となっているAWSなどのインフラのセキュリティ対策、そしてその上で動作するアプリケーションのセキュリティ担保という3つの軸で対策を進めています。
このうちインフラに関してはNRIネットコムの支援を受け、AWS向けのテンプレートを活用してセキュリティ設計・構築を実施してきました。一方、主に外部パートナーに開発をアウトソースしているWebアプリケーションについては、外部の第三者による診断サービスを受け、脆弱性を洗い出してきました。
しかし、「我々のような小さなベンチャー企業にとって、外部診断の費用は非常に高コストとなります。サービス全体を網羅的に診断しようとすると多額の費用がかかりますし、頻度の面でも、年に何度も診断を行うのは現実的に難しいと感じていました。」加えて、依頼のたびに仕様書や診断用の環境を用意するといった手間がかかることも、地味ながら確実に負担となっており、「気の重くなる作業でした」と言います。
こうした背景からTake Actionでは、「違うやり方はないだろうか」とさまざまな選択肢を模索し始めました。しかし、外部の診断サービスはどうしても割高感が拭い去れません。かといって、プロダクト開発チームで内製するのもリソース的に困難でした。
このような悩みを抱えていた中で、NRIネットコムから紹介を受けたのが、同じNRIグループであるユービーセキュアが提供するVexでした。
「ユービーセキュアという社名は以前から知っていましたが、NRIグループだとは知りませんでした。信頼の置ける紹介元から教えてもらったこともあり、これなら大丈夫かもしれないと考えました」
残るポイントは、セキュリティの専門知識を持たない自分たちでも使いこなせるかどうか。当初はうまくイメージできていませんでしたが、Web上で公開されているヘルプサイトが充実しており、「別宮スミレ」というオリジナルキャラクターを用いたVexの使い方動画を見ることで、これなら問題なく使えそうだと感じました。
充実したサポートの支援も得ながらVexによる定期診断を開始
こうしてTake Actionでは「THANKS GIFT」「タレントファイル」「リファアルム」という3つのSaaSプロダクトに対し、Vexによる脆弱性診断を開始しました。
外部の診断サービスを全て置き換えるわけではなく、重要度の高い部分は引き続き依頼することを考えていますが、定常的な診断はVexを活用していく予定です。プロフェッショナルの手による診断に比べると完全ではなくとも、一定水準の脆弱性を開発の段階でチェックすることで、扱うべき問題のボリュームが格段に減ってくると期待しています。
価格を気にする必要がないため、まんべんなく、網羅的に診断が行えることも利点です。また、機能開発に集中していると見落としがちな比較的軽微な問題にきちんと気付ける点も効果だと感じています。
そもそも外部に診断を依頼していたときは、事前の調整が必要となる上に、契約内容の制約も相まって、指摘された問題を修正した後の再診断を手軽に行えない点が課題となっていました。修正後すぐに「これで問題ないか」と確認したくても、手間がかかりやすかったのです。
「診断を受け、結果が出た頃には、開発側が他のサービスに着手していることもあります。再診断の期限が設けられている中で、いつ修正すればいいのか悩むことになり、我々の開発サイクルとかみ合わないと感じていました」。Vexの導入によって、そうした負担から解放されることになりました。
まだVexによる診断をスタートしたばかりで、巡回設定などに悩む場面もありますが、その際のサポートには非常に好印象を抱いています。「サポートサイトが充実していると、逆にサポート窓口では『Webを見てください』と素っ気ない対応に終わるのかと思っていましたが、懇切丁寧に支援してもらいました。『こんなにきちんとサポートしてくれるんだ』と、いい意味で予想外でした」今後は、開発チーム全体でVexを用いた診断を行えるよう、サポートの力も借りながらナレッジを蓄積していく計画です。
Vexによる定期診断で、エンタープライズ水準のセキュリティレベルを目指す
「開発作業というのは水物で、仕様が変わったり、大型のリリースが後にずれ込んだりすることは珍しくありません。そのため、外部の診断サービスを依頼していたときは、自分たちにとって最適なタイミングで診断できませんでした。
Vexでは、自分たちが『ここで診断をやりたい』というタイミングで気軽に診断を実施できます。セキュリティが確保されたサービスを提供できることは、非常に大きな安心感をもたらし、理想の状態に近づいています」
外部ベンダーに開発を依頼することも多い今のスタイルならば、検収時にセキュリティ診断を義務づける方法も考えられるでしょう。しかしそれでは開発ベンダーの負担が高まり、ひいては開発のスピードやコストに影響してくる可能性があります。ビジネススピードとセキュリティを両立する意味でも、自分たちでVexを回していく方法が最適解だと感じています。
Take Actionのビジネスは順調に拡大を続けており、顧客も中堅・中小企業からエンタープライズへと広がってきました。こうした大規模な企業は、よりセキュリティを重視するようになっています。そのニーズに応えるためにも「当たり前ですが、Vexを活用してWebアプリケーションのセキュリティを守り、エンタープライズに求められる機能レベルとセキュリティレベルを両立させていきたいと思っています」(添川氏)