国家資格保有のセキュリティエンジニアによる
手動診断でWebアプリの安全性確保に貢献

  3. 国家資格保有のセキュリティエンジニアによる 手動診断でWebアプリの安全性確保に貢献

会社名日本航空株式会社

製品
会社規模
5000名以上
事業内容
・定期航空運送事業及び不定期航空運送事業
・航空機使用事業
・その他附帯する又は関連する一切の事業
業種
運輸/郵便業
URL
https://www.jal.com/ja/
  • 脆弱性診断
選定ポイント
セキュリティエンジニアが手動で行う精度の高い診断がポイント
ツールでの診断を実施するサービスも多い中、エムオーテックスの脆弱性診断は国家資格を持ったセキュリティエンジニアが手動で脆弱性診断を実施。
そのため、ツールでは見えてこない脆弱性を発見できる点や、きめ細かな対応が選定の決め手に。
導入の効果
柔軟な対応により海外案件も含めた年間30~40件の診断を実施
年間の診断件数は約30〜40件にもなり、年度末に案件が集中してしまうケースもあるが、柔軟なスケジュール調整により滞りなく診断を実施できている。
また、時差を考慮した柔軟なスケジュール調整で海外案件にも対応。
スムーズなコミュニケーションで円滑なプロジェクト進行に貢献
日本航空の担当者だけでなく、開発ベンダーを含めた3社での報告会を実施。
柔軟かつスムーズなコミュニケーションにより認識齟齬をその場で解消するなど、円滑なプロジェクト運営・システム開発に貢献。

日本を代表する航空会社である日本航空株式会社(以下JAL)。JALグループではすべての業務が安全に通じているため、情報セキュリティにおいても安全運航を堅持するための行動指針(安全憲章)に則り行動する文化の醸成に取り組んでいる。
外部に公開するシステムに対する定期的な脆弱性診断については、エムオーテックスが提供する「LANSCOPE プロフェッショナルサービス(以下プロフェッショナルサービス)」の脆弱性診断サービスを利用している。サービス導入の経緯や効果について、デジタルテクノロジー本部 システムマネジメント部 リスクマネジメントグループ マネージャーの髙崎 重幸 氏に話を聞いた。

開発部門が案件ごとに脆弱性診断ベンダーを選定する運用が
定期的に脆弱性診断を実施する際の課題に

JALではグループ会社も含め、外部に公開するWebアプリケーションについては、定期的に(年1回)脆弱性診断を受けるルールとなっている。
しかし、このルールを徹底するに際して課題となったのが、「脆弱性診断のベンダー選定」だったと髙崎氏は振り返る。

「それまでは、システム開発部門が脆弱性診断ベンダー利用の可否から選定まで個別に行っていました。その工程が開発部門の負荷になっていたため、我々システムマネジメント部がベンダーを選定し、包括的に管理していくことになりました。」(髙崎氏)

脆弱性診断のベンダーを包括的に選定することで、開発部門は案件ごとにベンダー選定を行う必要がなくなり、課題となっていたベンダー選定の工数負荷が解消されたため、定期的な脆弱性診断の実施が徹底できるようになった。

また、管理部門側のメリットとして、髙崎氏は脆弱性診断の評価軸の統一と品質の確保を挙げた。

「これまではさまざまなベンダーが診断を実施する中で、ベンダーによって評価軸やサービス提供の質も異なりました。これらを統一することで、同じ評価軸で脆弱性診断を実施できるようになるため、我々が提供するWebアプリケーションに意図せず組み込まれてしまっている脆弱性の危険度やリスクの統合的な評価、サービスの品質を同一の基準で確保することが可能になると考えました。」(髙崎氏)

セキュリティエンジニアが手動で行う脆弱性診断のため
ツールでは確認できない脆弱性の発見や細かな対応が決め手

開発部門が個別に脆弱性診断を実施する運用から、管理部門が包括的に脆弱性診断の運用を管理する形に切り替えたのは2018年頃であったが、この運用開始時に複数のベンダーを比較・検討してベンダー選定を行った。

エムオーテックスの脆弱性診断サービスを選定する決め手となった最大のポイントは、セキュリティエンジニアが手動で脆弱性診断を実施する点だったという。

「エムオーテックスの脆弱性診断は、セキュリティに関する専門知識やノウハウを備えたエンジニアが手動での診断を提供しています。そのため、ツールでは見えてこないような脆弱性を発見できる点やきめ細かな対応が選定のポイントとなりました。」(髙崎氏)

エムオーテックスには国家資格を取得したセキュリティエンジニアが80名以上在籍している。セキュリティエンジニアが最新のセキュリティトレンドを考慮した診断を実施している点も評価された。
加えて、手動の診断であれば、こうしたトレンドにもいち早く対応し、診断対象となるWebアプリケーションの状況を丁寧に考慮することもできるため、具体的な改善策が明記された分かりやすい報告書も大きなポイントとなった。

お客様からも満足度の高い報告書(イメージ)
▲ お客様からも満足度の高い報告書(イメージ)

また、髙崎氏は費用対効果の高さも評価した。
「ベンダーを比較検討していると、中にはツールのみでの診断を実施するといったサービスもあったため、単純に費用感だけでは比較ができませんでした。しかし、診断品質の高さと費用感のバランスを重視したいと考えた結果、最も信頼できるベンダーがエムオーテックスだと考えました」と髙崎氏は説明した。

柔軟な対応力とスムーズなコミュニケーションにより
海外案件も含めた年間30~40件のプロジェクトを円滑に進行

エムオーテックスの脆弱性診断サービスの導入効果として、髙崎氏は「柔軟な対応力」と「スムーズなコミュニケーション」により、滞りなく年間30~40件のプロジェクトにおける脆弱性診断を実施できている点を挙げた。

先に述べた通り、年間の診断件数は約30〜40件にもなり、年度末に多くの案件が集中してしまうケースもある。そのような状況下でも、柔軟なスケジュール調整を行うことで、これまで遅延するようなケースもなくプロジェクト進行ができているという。加えてJALでは、海外で進行している案件も存在するため、時差を考慮した柔軟なスケジュール調整も髙崎氏は評価した。
「昨年はグループ会社であるハワイの現地法人で、初めて脆弱性診断サービスを利用しました。その際は、時差があるにも関わらず、現地との連携を非常に柔軟にご対応いただけました」と髙崎氏は振り返った。

また、診断後には必ず報告会が実施されるが、エムオーテックスとJALの担当だけなく、開発ベンダー含めた3社で実施することもある。「報告会の場では、診断結果に基づく改善策についてすり合わせを行い、認識の齟齬があった際には、その場で解消できています」と、円滑なプロジェクト運営・システム開発にエムオーテックスが貢献している点も髙崎氏は評価した。

デジタルテクノロジー本部 髙崎 重幸 氏
デジタルテクノロジー本部 髙崎 重幸 氏

「診断結果はPDFドキュメントによる納品だけでなく、そこにセキュリティエンジニアからコメントで補足があります。また、弊社側からの確認・質問事項にも丁寧にご対応いただけています。弊社のシステムの中には特有なものもあり、簡単にはアクセスできないようになっているため大きな問題はないだろうと認識していたところに指摘事項をいただく場合もあるので、そうした専門的できめ細かな対応が我々の円滑なプロジェクト運営に貢献しています。」(髙崎氏)

日本を代表する航空会社として情報セキュリティ強化を推進

今後については、脆弱性診断に加えて、攻撃者目線で疑似攻撃を行い、外部からの侵入を試みて脅威への耐性を測るペネトレーションテスト(ペンテスト、侵入テストとも)も、年1回実施する方針となっている。「ペネトレーションテストを通して攻撃者視点での現状把握を行い、そこから得たノウハウを今後の情報セキュリティ強化に活かしていきたいと考えています」と髙崎氏は話した。

最後に髙崎氏は、「弊社は日本を代表する航空会社として、やはりサイバー攻撃の標的になりやすい状況に置かれています」と、会社を取り巻く情勢への危機感について触れた。そのため、長年の脆弱性診断サービス提供によりJALのシステム全体を熟知するエムオーテックスには、「脆弱性診断やペネトレーションテスト以外の観点でも、グループ全体での情報セキュリティ対策の強化に有効な施策があれば、他社事例を含めてぜひご提案、ご支援いただきたいと考えています」と期待を述べ、締めくくった。

※本事例は2024年11月取材当時の内容です。

製品ページを見る