セキュリティのルールだけでなく、
文化をつくろう。

富樫様：主には、システムの品質担保のための仕事で、大きくふたつの整備を行っています。ひとつは、先程挙げたように有事の対応に関する整備です。トラブルに対応するためのフローや、原因をどのように探り、どことどのように連携するかなどを定めたガイドラインを作成しました。これにより、対応部署によるトラブル対応のブレを防止しています。もうひとつは、そもそもトラブルを起こさないようにするためのもので、平時の仕組みの整備です。新たにアプリケーション開発や更新を行うとき、どの段階で、どのようにテストを行うかを定めました。必ず開発段階で、Vexを使うルールにしたのです。チェック項目を明確にし、チェックをクリアしていなければ項目に対応できるように、開発段階でのガイドラインをつくりました。

富樫様：そうですね。まずは、ルールやツールを定める。そしてその先には、セキュリティを文化として定着させることも考えていました。

富樫様：具体的な数値で表すのは難しいですが、社内におけるセキュリティ意識の高まりを感じています。Vex導入をきっかけに社内の意識が高まったことで、トラブルの件数もグッと減っています。これまでの対症療法的なトラブル解決ではなく、日々の開発段階からセキュリティ意識を高く、根本的にいいものをつくっていけるようにしていこうと思います。一定の効果は見えていますが、移り変わりが早いのもセキュリティ業界です。都築CSIRTがこれまでは想定していなかったことにも対応できるよう、常にアップデートを重ねなければならないため、そこにはこれからもユービーセキュアの力が必要だと考えています。