お問い合わせ
お問い合わせ

CASE

導入事例

  • HOME
  • 導入事例
  • Webアプリケーション脆弱性検査ツール「Vex」の導入事例|富士通株式会社 様

コストメリットと効率性を重視し、富士通グループの認定ツールとしてVexをグループ一斉導入。

富士通

ICTサービス

http://www.fujitsu.com/jp/

導入したサービス

Webアプリケーション脆弱性検査ツールVex

PDF版をダウンロードする

導入企業様のご紹介

ICT分野において、各種サービスを提供するとともに、これらを支える最先端、高性能かつ高品質のプロダクトおよび電子デバイスの開発、製造、販売から保守運用までを総合的に提供する、トータルソリューションビジネスを行う。
クラウド事業本部セキュリティテクノロジーセンターは、富士通グループが提供するシステムインテグレーション、サービスにおける安全をマネジメント面、技術面の双方から守る業務全般に携わる。
具体的には、セキュリティ基本方針の策定、セキュリティ対策の立案、セキュリティ監査、セキュリティ状況の監視、脆弱性診断などを行っている。

http://www.fujitsu.com/jp/
富士通様の取り組み紹介サイト http://www.fujitsu.com/jp/about/csr/management/security/

クラウド事業本部セキュリティテクノロジーセンター シニアマネージャー 山本 也寸志 様
クラウド事業本部セキュリティテクノロジーセンター
シニアマネージャー

山本 也寸志 様

クラウド事業本部セキュリティテクノロジーセンター 櫟村 衡司 様
クラウド事業本部セキュリティテクノロジーセンター

櫟村 衡司 様

クラウド事業本部セキュリティテクノロジーセンター 冨谷 峰明 様
クラウド事業本部セキュリティテクノロジーセンター

冨谷 峰明 様

※所属部署、肩書などは取材当時のものです。

課題

  • 簡易的なツールで脆弱性がチェックできない項目はSEが手作業で一つ一つチェックしており、大きな労力と時間がかかっていた
  • SEによる手作業での検査では人に依存する部分があり、SEの技術レベルによって品質にバラつきが出てしまっていた

得られた効果

  • セキュリティのスペシャリストではないSEでも利用可能で、手作業だった部分を自動化し、工数の削減や品質の均一化を実現できた
  • 脆弱性診断の精度が確実に向上した
  • 社内で運用ルールを制定することで品質を均一化できた

目次

    グループ全体で情報セキュリティを強化

    case-img03-5富士通グループには、「常に変革に挑戦し続け 快適で安心できるネットワーク社会づくりに貢献し 豊かで夢のある未来を世界中の人々に提供します」という企業理念があります。これに基づき、グループ全体の「情報セキュリティ基本方針」が定められ、情報セキュリティ関連規定が整備されています。
    私たちは、その基本方針に基づき、富士通グループがお客様へ納入するインターネット接続システムにおける、セキュリティに関するガイドライン作成やセキュリティ監査の実施、またSEに対する技術サポートや教育などを行っています。
    以前より、お客様へ納入するWebサイトやWebアプリケーションなどの脆弱性は、簡易的なツールを使って、ある程度のチェックを行い、簡易的なツールでチェックできない項目はSEが手作業で一つ一つチェックしており、大きな労力と時間がかかっていました。また、手作業ですとどうしても人に依存する部分があり、SEの技術レベルによって品質にバラつきが出てしまうということが避けられない課題でした。そこで、グループ全体でツールを導入する事で課題解決を図るべく検討をしておりました。

    富士通グループの要望を満たすVexを採用

    case-img03-6全社導入では、コスト、機能、操作性、サポート、将来性の5つの面で評価分析をしました。機能面では、グループ内で先立ってVexを導入していた株式会社富士通ソーシアルサイエンスラボラトリ(以下、富士通SSL)が詳細な評価を実施しており共有した事で安心しておりました。そこで、私たちが特に重視したのは、コスト、操作性、サポートでした。このすべてにおいてユービーセキュアさんは高評価だったので、全社での導入を決定しました。
    具体的には、今回の利用目的ではシステム納入の繁忙期に多数のライセンスが必要となりますが、繁忙期に合わせて年間ライセンスを購入するとコストが過大な負担となってしまいます。ユービーセキュアさんには、必要な時に必要なライセンスを購入できる形態をご提示いただきました。また、操作性については、セキュリティのスペシャリストではないSEがちゃんと操作できるかが課題でしたが、VexはWebアプリケーションの開発経験や開発言語の知識があれば対応可能なツールであると評価しました。さらに、サポート面ですが、問い合わせに時間がかかるとお客様に直接ご迷惑がかかってしまいます。
    海外メーカーさんですと、テクニカルな質問に関しては本国への問い合わせとなり、 タイムラグが発生してしまう点が懸念事項としてありました。ユービーセキュアさんは国内メーカーということもあり、かなり迅速に対応してもらえるということでした。

    必要な体制を1ヶ月で構築し全社へ展開

    case-img03-7Vex導入が決定した後は、できるだけ早く納入システムのセキュリティ品質を高められるよう、約1ヶ月で社内に展開しました。まずは、当社グループ内へライセンスを提供するための部内運用ルールの制定し、申請方法の案内を行いました。さらに、導入後3ヶ月間は集合形式でのSE向け勉強会を計6回実施し、その後半年間は月1回実施しました。勉強会には合計で約200名のSEが参加しました。また、勉強会の模様をWebビデオで閲覧できるようにしました。
    SEはシステム納入前の約2週間程度、一時的にしかVexを使用しません。1年間で1~2度しか使わないSEも多くいます。そのため、Vexに関するマニュアルをすべて読んで理解するのは負担が大きいため、当社における必要最低限の項目をピックアップした社内用の手順書も作成しました。
    また、今回はグループ内で先立ってVexを導入していた富士通SSLに、Vexの社内サポート窓口となってもらう体制を構築しました。操作上の質問や基本的な内容の問い合わせは対応してもらっています。技術的な内容の質問については、富士通SSL経由でユービーセキュアさんに対応してもらう体制をつくりました。

    網羅的かつ短期間での診断を実現

    case-img03-8Vexの導入によって、SEによる手作業を自動化して効率的になり、工数が改善されたことが一番大きなメリットです。さらに、診断の精度が確実に上がりました。Vex導入以来、富士通グループが納入したすべてのWebアプリケーションにおいて一度もセキュリティ事故は発生しておりません。お客様へ安全安心なシステムを継続的に提供する事ができる体制が整ったと感じております。
    また、SEはシステム納期直前、時間に余裕がない中でVexを使うことが多いので、急ぎの問い合わせもありますが、ユービーセキュアさんにはいつも迅速に対応いただいており、大変助かっています。ただ一つ、Vexの検査実行時間が長い傾向があるため、性能向上に取り組んで頂くか、あらかじめ検査にかかる時間の見通しが立つと作業がしやすいです。
    今後も、新たに発見された脆弱性への対応をタイムリーに実施いただくことや、また、現状の日本語・英語に加え中国語など多言語への対応など、将来を見越したアップデートを期待しております。

    取材を終えて ~ユービーセキュアより~

    これからも安全安心なWebシステムを支えるパートナーとして
    全社導入という大規模な取り組みをご支援させて頂き誠にありがとうございます。今後のベストプラクティスとして大きな価値を持つ事例だと考えております。取材を快諾頂きご対応頂きました富士通様には大変感謝しております。
    今後も、ご意見ご要望に真摯に対応し、より良い製品およびサービス開発に取り組んでまいる所存です。
    富士通様導入にあたり、富士通SSL様にも多大なるご支援を頂きました事あわせて御礼申し上げます。

    導入したサービス

    neo_vex_logo

    Webアプリケーション脆弱性検査ツールVex

    優れた弱性検出率を有する、純国産のWebアプリケーション脆弱性検査ツールです。2007年のリリース以来、弊社診断チームや各セキュリティベンダーからの数千サイトに及ぶ診断実績をフィードバックし、常に進化を続けています。

    富士通

    ICTサービス

    URL:http://www.fujitsu.com/jp/

    PDF版をダウンロードする

    株式会社ユービーセキュア

    〒104-0045
    東京都中央区築地4丁目7番5号 築地KYビル4階

    • twitter
    • facebook
    • in
    Copyright (c)UBsecure Inc. All Rights Reserved.