メディア事業、インターネット広告事業、ゲーム事業、投資育成事業などを手がける株式会社サイバーエージェント。開発サイクルに脆弱性診断を組み込み、ユーザーが安心して利用できるサービス・プロダクトを継続的にリリースしている。
同社では10年以上前から年間数百件ベースにも及ぶ、脆弱性診断を実施しており、2019年からはエムオーテックスが提供する「LANSCOPE プロフェッショナルサービス(以下プロフェッショナルサービス)」の脆弱性診断を利用している。サービス導入の経緯や効果などについて、同社 菅原 雄太 氏、波多 結香子 氏に話を聞いた。
サイバーエージェントでは、情報セキュリティのリスクに対応する組織として、グループ横断で「ITセキュリティ戦略室(CyberAgent CSIRT)」を設置。また、セキュリティ実務経験者による専任組織「システムセキュリティ推進グループ」がセキュリティインシデントの予防、対応を行っている。
菅原氏はまず、セキュリティ専門の組織がグループ全体に対してさまざまなセキュリティ施策を講じていることを説明し、同社が提供するサービスやプロダクトの開発はそれぞれのプロダクト単位で行っているが、セキュリティに関する問題があればすぐにCyberAgent CSIRTに相談、連携可能な体制が整備されていると述べた。
出典:株式会社サイバーエージェント「情報セキュリティへの取り組み」
同社のWebアプリやスマホゲームといったサービス・プロダクトに対する脆弱性診断は10年以上前から実施しており、現在は年間数百件の規模となっている。
「サービス内容やプロダクトの規模がさまざまな中で、年間数百件の脆弱性診断が行われており、それらはユーザーが安心してサービスを利用できるよう、サービス・プロダクト開発の段階でプロセスに組み込まれており、文化として開発側にも定着しています。診断を行うタイミングとしては、リリース前や機能追加前だけでなく、サービスリリース後も定期的に脆弱性診断を行っています。」と菅原氏は説明した。
年間を通して安定して診断を実施するために、同社には社内で診断を行う診断チームのほかに、複数の外部のセキュリティベンダーに診断を委託している。その理由を菅原氏は「社内のリソースの問題で外部に委託するケースがあるというだけではなく、技術の進歩にも対応が必要で、新しい技術が登場した際には外部からも知見を入れて対応すること。そして、外部のベンダーという第三者による診断で信頼性の担保することを考慮し、社内での診断と外部委託する診断のバランスを取っています。」と説明した。
加えて、「弊社が外部のセキュリティベンダーに求める基準は高いため、信頼できる委託先と連携できることも重要なポイントです。その際、診断技術ももちろん重要ですが、リソースの調整が柔軟であることや、コミュニケーションが円滑であることなど、総合的に見て信頼できる診断ベンダーを見つけたいと考えています。」と述べた。
同社はこのように脆弱性診断の委託先には、「総合力」を求めており、特に「技術力」、「リソース調整力」、「コミュニケーション力」の3点を重視していることを強調した。
「ベンダー選定段階では、本番のプロジェクト診断を正式に依頼する前に、ベンダーの技術力を評価するための厳格なチェックを実施しています。弊社で用意した疑似的な環境に対して侵入テストなどを行なっていただき、そのプロセス全体を確認させてもらうことで、ベンダーの技術力が弊社の要求を満たしているか、詳細に評価させていただいています。」(菅原氏)
この技術評価プロセスには、診断員の専門知識や実践的なスキルが重要な要素となるということで、こうした厳格な技術評価をクリアし、2019年から利用を継続しているのがエムオーテックスが提供する「プロフェッショナルサービスの脆弱性診断」である。
また、リソース調整力、コミュニケーション力という同社の委託先選定ポイントに関しては、「エムオーテックスの診断員の方は、弊社のチームとコミュニケーションを頻繁にとりながら、柔軟にテストを実行しています。また、発注や報告書の提出といったフローにおいても、弊社はベンダー側が用意したテンプレートで行うよりも、弊社側のフローに合わせてもらうことが多く、そうした点でもエムオーテックスには柔軟に対応していただいています。」と菅原氏は評価した。
年間数百件にも上る診断案件の進め方については、まず案件ごとのトークルームを作成し、菅原氏または波多氏にて案件把握から、診断日程、発注を進める。
そして、トークルームにエムオーテックスの担当者を招待して、診断開始日からは同社のプロジェクト担当者とエムオーテックスの担当者にてコミュニケーションを取って進めている。
「いつから診断を行うかの調整や、診断を行うために不足している情報があれば追加で弊社側に明示いただくといったコミュニケーションが行われます。診断が終了した後は、社内で決められた優先度以上のものを順次、プロジェクト側にて修正を進めてもらっています」と波多氏は話す。
そして、再診断を経てプロジェクト完了となる流れが、年間を通して複数並行して行われている。
「診断の期間は、短い案件では2日程度、長い案件では1〜2カ月程度かかります。プロジェクトの状態や納期など様々な要因がある中でも、多くの案件を進行しながら、診断を計画通りに進められています。」と波多氏は話した。
エムオーテックスの脆弱性診断について、菅原氏は「円滑なコミュニケーションと柔軟なリソース調整により、診断期間を効率的に挟めるようになり、結果として開発期間の短縮に繋がっている」と述べ、改めて、プロフェッショナルサービスの「技術力」「リソース調整力」「コミュニケーション力」の総合力が、満足できる品質だと評価した。
今後について、菅原氏は「これまでしっかりと診断を行ってきた部分は継続し、改善できるところはどんどん変えていきたい」と展望を述べた。例えば、「時代の進化に伴って次々生まれる新たな技術に対し、診断側も対応できる体制を整備していくことがポイントだ」ということだ。
サービスやプロダクトを利用するユーザーにとって安全なサービスをスピーディーにリリースすること、サービスやプロダクトを満足して利用してもらうため、安定的なテストを継続し、脆弱性を存在させない運用が今後も重要であることに変わりはない。それに加えて、時代の進化と新たな技術に対して対応できる診断の体制を構築できるように変わっていきたいと菅原氏は説明する。
最後に、「これまでのエムオーテックスの診断クオリティには満足しており、今後も新たな技術に対応した診断メニューの構築など、弊社の診断体制の整備に継続的なサポートをお願いしたい」と述べ、菅原氏は締めくくった。
※本事例は2024年7月取材当時の内容です。