私たちカインズは、ホームセンターという従来の枠を超え、「これまでにない新しい購買体験をお客様に提供する“IT小売業”へと進化する」という大きな挑戦を掲げています。その原動力となるのがデジタル戦略です。
お客様が日常的に触れるアプリやEC、社内外をつなぐ多彩なサービスを、スピード感を持って開発・改善し続ける。その積み重ねによってリアルとデジタルを融合させ、これまでにない購買体験を創り出す――それが私たちの描く未来です。
その柱となるのがアプリケーションの内製開発です。自ら手を動かし、顧客の声を素早く反映し、改善を繰り返すことで、より良い顧客体験を磨き上げていく。だからこそ、開発が進めば進むほどセキュリティの責任は私たち自身に重くのしかかります。スピードだけを追い求めていては、せっかくの新しい体験も信頼を失い意味がありません。安全で信頼されるサービスを届け続けることが、私たちの使命です。
私たちが運営するWebは、ECサイト、情報発信のオウンドメディア、社内ポータルまで多岐にわたります。以前は脆弱性診断を外部ベンダーに委託していましたが、ここには以下のような大きな課題がありました。
こうした状況では、私たちが掲げる「圧倒的なスピードで展開するIT小売業化」は到底実現できません。事業成長のために必要なのは、スピードと安全性を同時に確保できる仕組み。そこで私たちは、セキュリティ診断を内製化するという大きな転換を選びました。
内製化の第一歩として、2022年にWebアプリケーション診断ツールの検討を始めました。当初は海外製の自動診断ツールも視野に入れていました。しかし、自動スキャンは可能でも診断の深さに限界があり、操作には高度な専門知識が必要でした。これでは内製化を進めても品質と運用が追いつきません。
私たちが求めていたのは「高い診断品質を誰でも扱える形で実現できるツール」。そこで選んだのがユービーセキュアの Vex です。導入を決めた主なポイントは、まさに私たちの課題を解決してくれると感じられるものでした。
「深い診断ができる」と「誰でも扱いやすい」という、一見相反する条件を同時に満たせたこと。これこそが、私たちがVexを選んだ最大の決め手でした。
導入後、変化はすぐに目に見える形で表れました。
まずはスピードです。外注時代には見積・発注に約4週間かかっていたプロセスが、内製化によってゼロに。診断リードタイムは案件によって半減以下となり、開発全体のサイクルが大きく短縮されました。
次にコストです。年間数百万円単位での削減が実現し、プラットフォーム診断と合わせると累計で数千万円規模に上ります。Vex導入費用は十分に吸収でき、投資効果は明確です。
そして何よりも大きいのは、組織の変化です。診断を担当するエンジニアはスキルを磨き、セキュリティの知識が社内に広がりました。開発チーム全体の意識も向上し、繰り返し診断を行うなかで、指摘ゼロでリリースできる案件も登場しています。セキュリティ部門と開発部門の共通言語が増え、以前は「別のチーム」と見られがちだったセキュリティ担当が、いまでは「一緒に前進する仲間」として認識されるようになりました。
「自分たちで守れる」という文化が根付き始めたこと。それこそが、内製化がもたらした最大の成果だと感じています。
私たちの目標は、リリース直前に診断するのではなく、開発プロセスそのものにセキュリティを組み込む「シフトレフト」の実現です。これにより、設計や実装の初期段階から品質を高め、手戻りを減らすことができます。
さらに、ECやアプリだけでなく、今後増えていくAPIのセキュリティ診断など、新たなニーズにも対応していく必要があります。私たちは、こうした領域にも積極的に取り組みながら、継続的に品質を高める開発体制を構築していきます。
カインズが掲げる「圧倒的なスピードで展開するIT小売業化」の実現には、スピードとセキュリティ品質の両立が不可欠です。Vexによって築いた内製診断体制は、その両立を支える大きな一歩となりました。これからも、次のカインズを創るデジタル戦略をさらに加速させていきます。