「常に変革主体となって枠を超え、顧客の成功とともに進化し続ける。」をミッションに掲げ、マーケティング×テクノロジーの力を使って顧客の課題を解決するITベンチャー企業。デジタルビジネス総合プロデュースカンパニーとして、多様な領域の広告主とメディアをマッチングする成果報酬型のデジタルマーケティングプラットフォームLink-AGを中心に、様々なデジタルマーケティング事業を運営しています。
お役立ち資料
株式会社L&E Group
マーケティング×テクノロジーの力を使って顧客の課題を解決するITベンチャー企業。
導入したサービス
Webアプリケーション脆弱性検査ツールVexCloud
「常に変革主体となって枠を超え、顧客の成功とともに進化し続ける。」をミッションに掲げ、マーケティング×テクノロジーの力を使って顧客の課題を解決するITベンチャー企業。デジタルビジネス総合プロデュースカンパニーとして、多様な領域の広告主とメディアをマッチングする成果報酬型のデジタルマーケティングプラットフォームLink-AGを中心に、様々なデジタルマーケティング事業を運営しています。
株式会社L&E Group
プロダクト開発部
飯田 恭子 様
株式会社L&E Group
プロダクト開発部
長谷川 隼兵 様
※所属部署、肩書などは取材当時のものです。
L&E Groupが提供するデジタルマーケティングプラットフォームLink-AGは、この数年間でアクセス数、利用者数ともに大きく成長しました。その一方で、セキュリティ面においてはどのように強化していけばよいか、模索をしていました。チームルールとしてコード規約を設けたり、他者によるレビューを行ったりするなど、セキュリティ対策は行っていましたが、属人的になっていた部分も少なからずあり、今後の組織的なセキュリティ強化の方法に課題感を持っていました。
同業界でもサイバー攻撃を受けてサービスに影響が生じたというニュースもあり、日々巧妙化しているサイバー攻撃やセキュリティリスクに対する漠然とした不安がありました。
当社でもサービスを常に安心してご利用いただくために、更なる取り組みの必要性を感じていましたが、サービス開発のスピードをショートさせず、限りあるリソースやコストの中でより効率的にセキュリティ強化を実現していく方法を模索していました。
そんな中で、ご縁があったユービーセキュアさんにお声がけし上記の相談したところ、ツールを活用した脆弱性診断から取り組むことを提案いただき、当社の展開するサービスに合わせて、自動診断ができるVexCloudの導入を検討することになりました。
利用人数に比例して料金が増加していくSaaSサービスが多い中、VexCloudはスキャン単位・アセット単位の課金体系が中心であるため、チーム全員が利用しても費用を比較的抑えることができます。また、SaaS型なのでトライしやすいこともあり、検討からわずか2週間ほどでPoCをスタートさせることになりました。
PoCでは、当社の検証環境にVexCloudを導入しました。数クリックするだけで診断が自動で進んでいくので、診断中の時間も私たちは別の開発を進められます。さらに診断結果から対処方法やリスクレベルが分かるため、診断に関わったことがないメンバーでも修正項目や対処方法について理解することができました。
また、VexCloudは開発者にとって非常に分かりやすく、スムーズに利用することができるUIになっており、日頃異なるSaaSを使っているユーザーも、ダッシュボードを見れば、ほとんどの機能や操作方法を理解できます。そのため、本格導入後も全員で使用して、チーム全体のセキュリティ意識向上に役立てられるイメージが持てました。
3週間ほどのPoC期間中は、週次でユービーセキュアさんとオンラインミーティングをしながら、想定通りに動作しない箇所や不明点について相談もしました。海外企業のSaaS製品の場合は、問い合わせても返事がないこともありますし、提供されている範囲内の機能だけを使うことを前提とされているものも少なくありませんが、ユービーセキュアさんはPoC中であってもリクエストした点をスピーディに反映してくれました。私たちの成長と一緒にVexCloudがアップデートされていくスピード感も非常に嬉しく感じました。
PoC時のスキャンを通じて、一度でも使ってしまえば誰でも容易に操作ができること、脆弱性自体の解説やアクション方法が提示されているため取り組みに繋げやすいことを実感でき、当社にとって必要なツールであることを改めて確認することができました。
新たなメンバーが開発に参画し続ける予定のLink-AGにとって、VexCloudは社内のスタンダードなツールとしてピッタリだと判断し本格導入を決めました。
VexCloudでの診断は、「自動スキャン」機能と「シナリオを登録してのスキャン」機能がありますが、後者についても、ブラウザの操作を記憶してシナリオを作成できるので、スキャンの事前準備も簡単でした。当社では、特定の担当者だけがVexCloudを利用するのではなく、ベテランから経験の浅いメンバーまで全員が利用して、セキュリティに取り組むことで全員のリテラシーや意識を高めたいと考えていました。そのため、まずは最初のシナリオ作成~登録作業を、全員で分担して対応しましたが、それによって全員が「VexCloudの操作を一度はやったことがある」状態になっていたので、その後の実業務においてVexCloudを使用する際もスムーズに利用することができました。また、VexCloudは発見された課題の管理がしやすいという特長もあります。当社では検出された脆弱性ごとに担当者を決定し、各自が担当の脆弱性に関する調査を実施しています。
対応方針を決めて、全員参加のミーティングで発表・共有することで、多くの社員がさまざまな脆弱性への理解を深め、対応方針の決定プロセスやセキュリティの考え方にも触れられる機会となっています。検出された脆弱性について、「どこまで対応すべきか」、「どれから対応すべきか」、「どのようにアプローチすべきか」といった点については知識が不足していましたが、ユービーセキュアさんからのサポートを通じて“答え合わせ”もでき、学びながらプロダクトをセキュアに磨いていくことができていると思います。
また、シナリオを検討する際には副次的なメリットもありました。シナリオ作成することで、提供しているサービスのフローを改めて確認する機会になったため、小さなバグや重複処理などのエラーに気付くなど、診断以外の部分でもサービスの改善にもつながりました。
現在は、「VexCloudで定期的に全体スキャンを行うこと」と、「新機能を実装する際はリリース前にシナリオを登録すること」をルールに盛り込んでいます。それによってエンジニアとしても安心感を持てるようになり、サービス開発自体に集中できるようになりました。今後のLink-AGは、セキュリティという新たな武器を持って、ユーザーのニーズに応えるサービスとして、さらに進化していく予定です。
また、定期スキャンについては、社内の旗振り役として若手エンジニアをアサインする予定です。プロジェクトの進行などを経験する機会となり、成長の場としても活用できると考えています。
「開発エンジニアもセキュリティリテラシーを持つべき」と思いながらも、なかなか対応できずにいましたが、VexCloudの導入によってその一歩を踏み出せたと感じています。Vex利用企業は大企業が多いようだったので、導入前は当社の規模感にマッチするのか不安に感じる部分もありましたが、少人数だからこそみんなで使うことができていますし、それによって結果的に全員のリテラシー向上につながったことを実感しているところです。脆弱性が検知されることで、自分たちで学んだり考えたりする機会にもなり、通信やフレームワークの構成や処理に関する理解もさらに深まっていくと思います。
VexCloudは、速いスピード感で機能面がアップデートされていくのも大きな魅力の一つです。今後は、今以上に手を掛けることなく、自動で対応できることが増えていくと良いなと期待しています。
左からユービーセキュア 坂梨元軌/株式会社L&E Group 長谷川隼兵氏・飯田恭子氏・安田敦氏/ユービーセキュア 岸川孝明・八島晶子
株式会社L&E Group
マーケティング×テクノロジーの力を使って顧客の課題を解決するITベンチャー企業。
株式会社ユービーセキュア
〒104-0045
東京都中央区築地4丁目7番5号 築地KYビル4階
