ツールを使った脆弱性の自動診断をきっかけに
グローバル一体となってWebセキュリティに向き合える体制を実現

グローバル全体でセキュリティ品質を高め合える
体制づくりが課題

貝印は1908年の創業以来、グローバル刃物メーカーとして「生活に寄り添う」商品を作り続けてきました。伝統あるものづくりを続ける一方で、昨今の市場環境の変化に対応し、お客様に新たな価値を提供するための変革にも取り組んでいます。

なかでも数年前から特に力を入れているのが、DX（デジタルトランスフォーメーション）推進です。グループ横断組織のデジタル推進部が中心となり、事業部門と連携しながら領域ごとにDXの取り組みを加速させています。私たちはWeb領域を取りまとめる専任チームとして、各部署が運用するサイトのルールづくりやセキュリティの整備など、ガバナンスの強化に取り組んでいます。

昨今、企業を狙ったサイバー攻撃やセキュリティ事故のニュースが後を絶ちません。これを受けて社内でも、経営層を中心にセキュリティ意識がますます高まっています。

現在KAIグループの拠点は世界中に広がっており、海外売上比率は50％を超えました。グローバルにブランドが拡大していくなか、セキュリティのリスクも国内外に広がっています。もしも海外の現地法人でセキュリティ事故が起これば、同じ「KAIグループ」として名前が出てしまう。長い歴史のなかで積み上げてきたお客様からの信頼を、一気に失うかもしれません。そうした意味で、グローバル全体でセキュリティ水準を高めていくことが喫緊の課題でした。

手動診断×自動診断の二刀流。
掛け算の考え方でWebのセキュリティを強化

Webサイトは従来、拠点ごとに最適化されたルールのもとで運用されており、私たちが海外の対応方針や脆弱性を把握する機会は多くありませんでした。そのためまずはグローバル共通のルールをつくって浸透を図りながら、国内外のサイトを一元的に管理する体制をつくる必要があります。その基盤として導入したのが、Webアプリケーションの脆弱性自動検査ツール「VexCloud」です。

もともとは年に数回程度、国内のWebサイトを対象に手動診断を実施していました。ただ、外部ベンダーへの依頼が前提となる手動診断は、何度も気軽に実施できるわけではありません。事前に計画を立てて、予算を計上して、稟議を取って、外部業者と調整して……国内だけでもなかなか骨の折れる作業で、海外への横展開は考えづらい状況でした。

診断の実施頻度やスピード感も課題の一つです。お客様によりよい体験をお届けするために、Webサイトは日々改修を重ねています。その過程で、ちょっとした機能のアップデートが重大な脆弱性を引き起こしている可能性も。次回の手動診断の実施をのんびり待っていたら、検知が遅れてしまいます。

一方、ツールを使った自動診断であれば社内で完結するため、必要なタイミングで手軽に診断を実施できます。従来の手動診断は継続しつつ、そこで拾いきれないリスクを自動診断の定期的なチェックであぶり出し、一つ一つ対処していく。こうした掛け算の考え方でWebのセキュリティを強化し、最終的には手動でも自動でも脆弱性が検知されない状態を目指します。

誰もがストレスなく使えて、
持続性のあるツールであること

自動診断ツールの比較検討にあたり、選定軸は大きく2つありました。1つ目は使いやすさです。将来的には診断業務をWebチームから各サイトの運用部署へ移管するため、セキュリティに不慣れな人でも使いやすいツールであることが大前提でした。まずは私たちがいろいろなツールを試してみて、デザインの分かりやすさや設定の難易度、操作性などを比較。その結果、「これなら各部署に渡しても大丈夫そう」と感じられたのがVexCloudでした。

2つ目の軸はコストです。具体的には、海外サイトを含む診断対象の拡張に加えて、今後の事業拡大などの変化に対応できる料金体系であること。この観点でみても、VexCloudは診断対象のドメインが増えても料金が加算されないプランだったため、当社の運用イメージに最も近く、長く使えると感じました。

導入前後のやり取りもスムーズでした。ユービーセキュアの営業担当やサポート窓口の方は製品理解が深く、セキュリティエンジニアからの質問にも的確な回答が返ってくるのでストレスなく情報共有できています。また肝心の診断品質についても、VexCloudの前身となる脆弱性検査ツール、Vexが多くのセキュリティベンダーに採用されている実績があるため、安心感がありました。

Webセキュリティを皮切りに、
グローバル全体でうねりを持って動ける組織へ

導入後の効果としても最も大きいのは、海外拠点との関係性が築けたことです。これまで「日本は日本」「海外は海外」と個別最適に運用するなかで、海外のWeb担当者と連携する機会がありませんでした。

そこから海外のコーポレートサイトで診断を実施することになり、「VexCloudを使って脆弱性診断をやるので、そちらのWebサイトの仕様を把握させてください」と担当者に連絡するきっかけができたんです。実際にやり取りを通じてWebサイトの仕様や改修状況を把握できたことはもちろんですが、それ以上に、海外拠点と密に連携できる体制を築けたことが会社としての大きな一歩になりました。

その後、出張に行った際には現地法人のトップに対して「VexCloudでこんな結果が出てきたから、ルールに基づいてこのあたりを改善したいです」と直接説明する機会がありました。すると「すぐに改善しましょう！」と賛同していただき、その数週間後には本当に改善策が実行されていたんです。こうしたスピーディーかつ柔軟な対応ができるようになったことも、ツールを入れたからこその成果ですね。

何よりうれしいのは、「セキュリティ水準の向上」という共通ゴールを目指すチームとしての一体感が生まれたことです。まだまだ国によってセキュリティ意識の程度は異なりますが、“日本側でも気にして見てくれている”という認識が広がると、他拠点との関わり方や意識が変わってくるのではないでしょうか。その先にグローバル全体での意識の底上げがつながっていて、Webチームとして大きく貢献できたと感じます。

セキュリティ強化は会社全体の重大なテーマですから、Webに限らず各チームがさまざまな取り組みを進めています。ただ、国内の取り組みをグローバル展開していく部分は特にハードルが高く、多くの組織で足踏みしがちです。そうしたなかで今回のVexCloud導入が突破口となり、グローバルに波及させていく好事例をつくることができました。これを皮切りに、今後あらゆる分野でグローバル連携の波を起こせたら……とワクワクしています。

実践知を積み重ねて
みんなの安心を守り続けたい

VexCloudを使った自動診断を始めたことで、国内外で共通のルールや対応方針が定まり、社内浸透も進んできました。こうしたガバナンスの取り組みが、従業員にとってのセーフティネットになっていると感じます。「Webチームがちゃんと対策してくれているから、うちの会社は大丈夫」。そんなふうに皆さんが安心して貝印で働き続けられるよう、Webチーム内の運用体制も進化させていきたいと思います。

導入から約4カ月が経ち、Webチーム内にもナレッジが蓄積されてきています。従来の手動診断では「外部ベンダーから報告を受けて終了」というケースも珍しくありませんが、VexCloudの場合は上がってきた診断結果を見ながら、「これってどういう意味？」と自分で考えることが求められるからです。そこで分からない部分は社内のエンジニアに聞いて勉強することで、共通言語が増えて、セキュリティがより身近になったと感じます。

Webセキュリティは基本的にインプット＞アウトプットになりがちで、私たちもまさにその状態でした。それがVexCloudを入れたことで診断業務や結果への対処を「実践」できるようになり、これがWebチームの「当たり前」になっています。今後新しいメンバーが入ってきても、ツールで診断するところから結果をもとに対処するまでの一連の業務フローが整っていることで、セキュリティ意識を高く保てるのではないでしょうか。こうした組織づくりの観点でもVexCloudを有効活用できると実感しています。

会社全体として、セキュリティの活動は取っ掛かりの段階です。手をつけられていない課題もまだまだ残っているので、その整備も含めてユービーセキュアには幅広くご支援いただきたいと思っています。困ったときに頼れる専門家でありながら、お互いに率直な意見で議論しながら高め合える。そんなセキュリティのパートナーとして、引き続き当社に寄り添っていただけたらうれしく思います。

【こぼれ話】
貝印様の会議室の壁には、2022年10月に累計出荷本数1000万丁を突破した包丁ブランド「旬」の大きなモチーフが。貝印様らしいインパクトのある空間で、楽しくお話を伺いました。