1983年の設立以来30年間にわたり、親会社である大阪ガス株式会社様をはじめ様々な大手企業にITソリューション/コンサルティングサービスを提供している。オブジェクト指向開発やUML(統一モデリング言語)のパイオニアとして、システム開発だけでなく、教育、コンサルティング、インフラ構築、データセンター、クラウドサービス、EC/EDI、BPOなど、あらゆる顧客ニーズに応える体制を整えている。激変するビジネスを支えるシステムの長期持続を目指す「百年アーキテクチャ」をキーワードに、オープンソースやアジャイル開発など新たな開発手法も積極的に取り入れている。
ソリューション開発本部エネルギーソリューション第一部では、Javaフレームワークやミドルウェア、各種共通機能、開発標準などの分野で様々なアプリケーション開発に横断的に携わっている。
大熊 康太郎 様
片岡 浩美 様
瀧川 裕史 様
※所属部署、肩書などは取材当時のものです。
「当社では大手企業をはじめとする、様々な企業向けのシステム開発、インフラ構築などを長年続けてきました。クライアントは非常に重要な情報を多数扱っていますから、情報漏洩対策への意識は以前から高いです。一方で、ご存知のようにハッカーの手口は日に日に巧妙化しており、以前は安心だと思われていたシステムに数年後、重大な脆弱性が見つかるという事態も珍しくありません。そこで、お客様側における対策として、セキュリティに関連する基盤を整備すると共に、システムやアプケーション開発におけるセキュリティについてのルールづくりが進みました。 当然、私たちとしても、それに則って開発・納品することが品質管理上欠かせなくなってきたのです」(大熊)
「私はつい数ヶ月前まで開発メンバーとして、直接クライアントとやり取りする立場で働いていました。セキュリティの問題に関してクライアントにご説明する時に難しいのは、“脆弱性に対するチェック対策を強化しました”とお伝えしたとしても、それが決して見た目には表れないことです。使い勝手や機能のように利便性の向上が実感できるものではないので、“そんなにそこにお金を費やすべきなんですか?”と疑問に思われてしまいがちです。ところがここ数年、個人情報・機密情報の流出が起きています。“次は自分たちの身の回りで起こるかもしれない”という危機感が大きく広まり、最近ではクライアントから “セキュリティ面を強化したい”といったご相談を受けることが増えてきました。従って、私たちも、“これならセキュリティも万全!”と自分たちが納得したうえでアプリケーションを納品することが、開発者の義務だと考えるようになりました。至極当然の展開だったと言えます」(片岡)
「入社後しばらくはインフラ構築を担当していましたが、現在はエネルギーソリューション部隊をはじめとする開発部隊が開発したアプリケーションの脆弱性検査を行っています。Vex導入以前は、海外ベンダーの脆弱性検査ツールを使っていました。しかし、ライセンス料金が高価であったため、複数のサーバを検査できるライセンスを購入できず、サーバ1台しか検査できないことが悩みの種でした。そんな時に関連会社からVexを紹介してもらい、試してみることにしました」(瀧川)
「実際にVexを使ってみて、いくつもの発見と業務上の変化がありました。まず私が実感したのは、以前使っていたツールとは“設計思想や機能の深さが全く違う!”ということですね。以前のツールではWebサイトの巡回をしたらすぐに検査がはじまり、ボタン一つで診断という流れでした。Vexの場合は全てツール任せにするのではなく、サイト巡回後にユーザー自身が目的に応じて最低限の設定をする必要があります。最初はその設定画面に表示される言葉の意味も分からなかったのですが、一度覚えてしまえばその後は全く大丈夫でした」(瀧川)
「以前のツールでは“本当にこの検査結果は正しいの?”と疑問に思うことも多々ありましたが、その疑問を解消する手段はありませんでした。Vexを使うようになってからは、詳細な設定ができるので検査結果により自信が持てるようになりましたね。一見、以前のツールのほうが簡単で楽に思えるのですが、検査内容の幅広さや検査結果の信頼性については、断然Vexのほうが優れていると感じました」(瀧川)
「併せて、以前の課題であった複数サーバの検査についても問題なく解決できたため、最終的にVexの採用を決定しました。Vexの採用後は、より多くの開発案件が検査を受けることになり、自ずと部内開発者のセキュリティに関する意識が高まりましたね」(片岡)
「Vexは検出結果のレポート機能も充実していますね。海外ベンダー製品ではベースが英語で、日本語パッチをあてても一部英文が混じっていたりするので、そのままクライアントに見せられるレベルではありません。Vexの場合は詳細レポートからサマリレポートまで様々なフォーマットに対応していて、診断結果を色鮮やかな資料として見ることができるので、開発者にもクライアントにも好評です。脆弱性検査のレポートというのは、いわば学校の成績表のようなもの。クライアントがそのレポートをご覧になり、“良かった! 今回は何もなかったね!”と私たちと一緒に喜んで下さるわけです」(片岡)
「脆弱性検査ツールを使う理由は、クライアントに対してきちんとした基準に則って“誰が検査してもこの結果になります”、と客観的に説明できることにあると思います。手作業で検査すると、検査する人のスキルによって検査結果が変わってしまう可能性があり、検査品質にバラツキが出てしまいます。開発者はセキュリティの専門家ではありませんから、脆弱性検査についてはVexを使って客観的に検査することがベストでしょうね」(瀧川)
「2000年代中盤あたりに、ウェブの脆弱性が非常に問題になったことがありました。それに近いことが、今度はスマートデバイスの分野で起きています。急速に普及しているデバイスですから、セキュリティ対応がまだ追いついていないんですね。当社でもスマートデバイス対応の開発案件が増えており、検査をもっと効率化したいと考えています。ユービーセキュアさんには我々のニーズを先取りした検査ツールを他社に先駆けてつくってほしいと願っています」(大熊)
オージス総研
ICTサービス
株式会社ユービーセキュア
〒104-0045
東京都中央区築地4丁目7番5号 築地KYビル4階
