ここがポイント!
- SaaS型ですぐに利用OK&ユーザーフレンドリーな操作性の使いやすい脆弱性自動診断ツール
- 複数名で使用できるから、全員参加のセキュリティ対策を実現
- ユーザーからのリクエストがすぐにVexCloudに実装される、ユービーセキュアの対応スピード
- 定期スキャンや脆弱性の検知はサービスの品質向上だけでなく、社員の育成機会にも
安心してサービス運営するためのセキュリティ対策を検討
L&E Groupが提供するデジタルマーケティングプラットフォームLink-AGは、この数年間でアクセス数、利用者数ともに大きく成長しました。その一方で、セキュリティ面においてはどのように強化していけばよいか、模索をしていました。チームルールとしてコード規約を設けたり、他者によるレビューを行ったりするなど、セキュリティ対策は行っていましたが、属人的になっていた部分も少なからずあり、今後の組織的なセキュリティ強化の方法に課題感を持っていました。
同業界でもサイバー攻撃を受けてサービスに影響が生じたというニュースもあり、日々巧妙化しているサイバー攻撃やセキュリティリスクに対する漠然とした不安がありました。
当社でもサービスを常に安心してご利用いただくために、更なる取り組みの必要性を感じていましたが、サービス開発のスピードをショートさせず、限りあるリソースやコストの中でより効率的にセキュリティ強化を実現していく方法を模索していました。

そんな中で、ご縁があったユービーセキュアさんにお声がけし上記の相談したところ、ツールを活用した脆弱性診断から取り組むことを提案いただき、当社の展開するサービスに合わせて、自動診断ができるVexCloudの導入を検討することになりました。
利用人数に比例して料金が増加していくSaaSサービスが多い中、VexCloudはスキャン単位・アセット単位の課金体系が中心であるため、チーム全員が利用しても費用を比較的抑えることができます。また、SaaS型なのでトライしやすいこともあり、検討からわずか2週間ほどでPoCをスタートさせることになりました。
すぐに理解できるVexCloudのユーザーフレンドリーな設計。ユーザーからのリクエストが反映されていくユービーセキュアのスピード感
PoCでは、当社の検証環境にVexCloudを導入しました。数クリックするだけで診断が自動で進んでいくので、診断中の時間も私たちは別の開発を進められます。さらに診断結果から対処方法やリスクレベルが分かるため、診断に関わったことがないメンバーでも修正項目や対処方法について理解することができました。
また、VexCloudは開発者にとって非常に分かりやすく、スムーズに利用することができるUIになっており、日頃異なるSaaSを使っているユーザーも、ダッシュボードを見れば、ほとんどの機能や操作方法を理解できます。そのため、本格導入後も全員で使用して、チーム全体のセキュリティ意識向上に役立てられるイメージが持てました。
3週間ほどのPoC期間中は、週次でユービーセキュアさんとオンラインミーティングをしながら、想定通りに動作しない箇所や不明点について相談もしました。海外企業のSaaS製品の場合は、問い合わせても返事がないこともありますし、提供されている範囲内の機能だけを使うことを前提とされているものも少なくありませんが、ユービーセキュアさんはPoC中であってもリクエストした点をスピーディに反映してくれました。私たちの成長と一緒にVexCloudがアップデートされていくスピード感も非常に嬉しく感じました。
VexCloudで脆弱性の発見、調査、管理、改善を実行。
全員で学び、プロダクトをセキュアに磨いていく
PoC時のスキャンを通じて、一度でも使ってしまえば誰でも容易に操作ができること、脆弱性自体の解説やアクション方法が提示されているため取り組みに繋げやすいことを実感でき、当社にとって必要なツールであることを改めて確認することができました。
新たなメンバーが開発に参画し続ける予定のLink-AGにとって、VexCloudは社内のスタンダードなツールとしてピッタリだと判断し本格導入を決めました。
VexCloudでの診断は、「自動スキャン」機能と「シナリオを登録してのスキャン」機能がありますが、後者についても、ブラウザの操作を記憶してシナリオを作成できるので、スキャンの事前準備も簡単でした。当社では、特定の担当者だけがVexCloudを利用するのではなく、ベテランから経験の浅いメンバーまで全員が利用して、セキュリティに取り組むことで全員のリテラシーや意識を高めたいと考えていました。そのため、まずは最初のシナリオ作成~登録作業を、全員で分担して対応しましたが、それによって全員が「VexCloudの操作を一度はやったことがある」状態になっていたので、その後の実業務においてVexCloudを使用する際もスムーズに利用することができました。また、VexCloudは発見された課題の管理がしやすいという特長もあります。当社では検出された脆弱性ごとに担当者を決定し、各自が担当の脆弱性に関する調査を実施しています。
対応方針を決めて、全員参加のミーティングで発表・共有することで、多くの社員がさまざまな脆弱性への理解を深め、対応方針の決定プロセスやセキュリティの考え方にも触れられる機会となっています。検出された脆弱性について、「どこまで対応すべきか」、「どれから対応すべきか」、「どのようにアプローチすべきか」といった点については知識が不足していましたが、ユービーセキュアさんからのサポートを通じて“答え合わせ”もでき、学びながらプロダクトをセキュアに磨いていくことができていると思います。
また、シナリオを検討する際には副次的なメリットもありました。シナリオ作成することで、提供しているサービスのフローを改めて確認する機会になったため、小さなバグや重複処理などのエラーに気付くなど、診断以外の部分でもサービスの改善にもつながりました。
セキュリティの一歩を踏み出せたことで、みんなの安心や自信と成長に
現在は、「VexCloudで定期的に全体スキャンを行うこと」と、「新機能を実装する際はリリース前にシナリオを登録すること」をルールに盛り込んでいます。それによってエンジニアとしても安心感を持てるようになり、サービス開発自体に集中できるようになりました。今後のLink-AGは、セキュリティという新たな武器を持って、ユーザーのニーズに応えるサービスとして、さらに進化していく予定です。
また、定期スキャンについては、社内の旗振り役として若手エンジニアをアサインする予定です。プロジェクトの進行などを経験する機会となり、成長の場としても活用できると考えています。
「開発エンジニアもセキュリティリテラシーを持つべき」と思いながらも、なかなか対応できずにいましたが、VexCloudの導入によってその一歩を踏み出せたと感じています。Vex利用企業は大企業が多いようだったので、導入前は当社の規模感にマッチするのか不安に感じる部分もありましたが、少人数だからこそみんなで使うことができていますし、それによって結果的に全員のリテラシー向上につながったことを実感しているところです。脆弱性が検知されることで、自分たちで学んだり考えたりする機会にもなり、通信やフレームワークの構成や処理に関する理解もさらに深まっていくと思います。
VexCloudは、速いスピード感で機能面がアップデートされていくのも大きな魅力の一つです。今後は、今以上に手を掛けることなく、自動で対応できることが増えていくと良いなと期待しています。

左からユービーセキュア 坂梨元軌/株式会社L&E Group 長谷川隼兵氏・飯田恭子氏・安田敦氏/ユービーセキュア 岸川孝明・八島晶子