関東地方から九州・沖縄地方に展開する「エディオン」と、北海道・北陸地方を中心に展開する「100満ボルト」のストアブランドで、地域に密着した家電専門店を全国1,202店舗(2024年3月31日現在)展開するエディオングループ。
グループの中核企業の一つである株式会社エディオンでは、開発の内製化とあわせ、安全なアプリケーション・サービスを円滑にリリースする体制づくりに取り組んできた。リリース前の脆弱性診断についてもスピーディーかつ定常的に実施できるよう、エムオーテックスが提供するセキュリティ診断・ソリューション「LANSCOPE プロフェッショナルサービス(以下プロフェッショナルサービス)」の脆弱性診断を利用している。
サービス導入の経緯や効果について、株式会社エディオン(以下エディオン) ITソリューション企画部 課長 小西 洋和 氏と、同社の子会社で、アプリケーション開発やインフラ構築・運用を担っている株式会社EDION クロスベンチャーズ(以下EDION クロスベンチャーズ)の叶谷 祐三 氏、竹田 直二 氏、佐武 正男 氏に話を聞いた。
エディオングループ全体の経営課題として、「グループ全体で、お客様情報の適切な管理が重要な経営課題となっています」と小西氏は話し、グループが目指すところとして、「情報セキュリティポリシーを策定・遵守し、また適切なセキュリティ対策を実施することで、お客様に安心してサービスをご利用いただきたいと考えています。」と説明した。
その一環として、同社では、安全なアプリケーションやサービスをスピーディーに開発・提供する目的で、システム開発の内製化に取り組んでいる。現在では開発案件の約8割が内製化されており、それらはEDIONクロスベンチャーズが担っているとのことだ。
同社の叶谷氏は「開発工程の遅延によってグループの事業展開が立ち遅れないよう、開発スピードの確保が大きなテーマです」と話す。
同社では従来より、アプリケーション・サービスのリリース時には脆弱性診断を実施するフローであったが、事業拡大に伴う開発規模の拡大と診断プロセスの頻雑さから、スピーディーな対応が難しくなりつつあった。
1つ目の課題として、従来のフローでは、診断を実施する際に毎回個別に見積もりを取得してから社内決裁を取りベンダーに発注をかけるプロセスであったため、診断作業を開始までに時間を要してしまっていた。
また、2つ目の課題として、診断後の指摘箇所の修正についても問題を抱えていたと叶谷氏は振り返る。
同社では当時、開発をすべて外部パートナーに委託しており、診断後の修正も外部パートナーが対応していた。修正対応には追加費用が発生するため、再度見積もりから発注までのプロセスが必要になり、診断開始から完了までが長期化してしまっていた。
これらの課題を解決するため、同社は開発の内製化に踏み切り、それにあわせて、脆弱性診断についても「効率的かつスピーディー」に遂⾏できるパートナーへの依頼を検討することとなった。
新たなベンダー選定について、叶谷氏は「複数のベンダーの中から比較検討し、その中で、プロフェッショナルサービスが最も効率的な診断実施に対応できると判断しました」と述べ、エムオーテックスの脆弱性診断を評価した。
そして、ベンダー選定の決め手となったポイントを3点挙げた。
①(診断前)お客様にあわせた柔軟な対応で診断にかかる工数を軽減
アプリケーション・サービスのリリースが多い中で、診断の実施も多い。診断実施の際、毎回個別に見積もりを取得し社内決裁を得るといった手続きの煩雑さが課題だったため、エムオーテックスとの契約形態は「チケット制」とすることで、あらかじめ取り決めた診断内容に応じてチケットを消化する仕組みとした。これにより、毎回個別に見積もりを取得して社内決裁を取るというプロセスがなくなり、診断を開始するまでの手続きがスピーディーとなった。
加えて、チケットが有効な診断は、Webアプリケーション脆弱性診断のほかに、ネットワーク脆弱性診断や、スマートフォンアプリケーション脆弱性診断もある。同社ではさまざまアプリケーション・サービスを開発しているため、状況に応じて診断したい箇所が発生することもあって、この仕組みは非常に効率的であった。
②(診断中) 開発関係者との「円滑なコミュニケーション」体制の構築
ベンダーによってコミュニケーションツールが異なるため、同社の開発チームからの情報をセキュリティチームが取りまとめ、ベンダーに展開していたため、やり取りに時間を要することもあった。しかし、プロフェッショナルサービス導入後は、コミュニケーション方法から両者で検討し、エムオーテックスの診断員も同社で利用しているコミュニケーションツールでやり取りして、開発チームと診断員が直接コミュニケーションをとる形とした。
従来窓口となっていたセキュリティチームは、スケジュール調整やチケット管理のみ対応しており、負荷が軽減されるとともに、診断時のさまざま対応についてもスピーディーに進むようになったという。
柔軟で円滑なコミュニケーション体制の構築は、開発スケジュール・工数の短縮化や、その分の人件費などの開発コスト削減にも寄与している。
③(診断後)開発者にとって「修正対応しやすい、わかりやすい診断報告書」
「診断報告書の見やすさ」もポイントとなった。
同社では開発の内製化を進める中で、開発チームの誰でも同じように指摘箇所の修正対応を行えるよう、平準化を意識していた。ベンダー選定時には、開発チームの担当者によるプロフェッショナルサービスが提供する報告書サンプルのレビューを実施しており、対応すべきポイントが精査されたわかりやすいレポートである点を評価した。
また、過去に実施した脆弱性診断の中で多く発見された課題や、指摘箇所の修正対応履歴などは、リスト化してナレッジとして蓄積する仕組みも構築したことで、「開発者同士がノウハウを共有できるようになり、技術力の向上にもつながっている。
診断によって修正が必要となった箇所とその対応を次の開発に還元し、設計や実装の時点で改善に取り組むことにより、修正自体が少なくなり、開発期間の短縮にも貢献している。
今回、プロフェッショナルサービスの脆弱性診断を導入し、同社のセキュリティチームおよび開発チームとエムオーテックスの診断員で新たな体制を構築した点について、佐武氏は「よりスピーディーに安全なアプリケーションやサービスを提供できる開発環境をつくることができました」と総評した。
「プロフェッショナルサービス診断員の柔軟なコミュニケーションにより、診断を実施するにあたって必要な手続きの負荷が軽減され、全体的に対応スピードが向上し、診断期間が短縮されました。また、分かりやすい報告書により、開発チームのナレッジが蓄積できたことで、これまでよりもスピーディーに、安全なアプリケーション・サービスをお客様に提供できる体制を構築できたことが、エディオングループの強みになっていると言えます。」(佐武氏)
また今後について、「今後も開発の内製化を進めていくため、より内製の比率が高まっていくとともに、社内にシステム開発のノウハウが蓄積・共有されていきます。さらに、脆弱性診断で発見された課題やその対応方法など、プロフェッショナルサービスの脆弱性診断によって得られたノウハウも蓄積・共有されることで、開発体制がより整備され、エディオンの強みにつながっていくことに期待したいです。」と小西氏は話した。
開発〜リリースのサイクルをさらに速めるためにも、脆弱性を作り込まないシステム開発が重要だとした上で、これまでのナレッジを生かして、さらにセキュアなシステム開発に取り組んでいきたいとと述べ締めくくった。
※本事例は2024年8月取材当時の内容です。