質の高いクラウドセキュリティ診断により
セキュアなAWS基盤でのサービス提供に貢献

  3. 質の高いクラウドセキュリティ診断により セキュアなAWS基盤でのサービス提供に貢献

会社名株式会社東急コミュニティー

製品
会社規模
5000名以上
事業内容
マンションライフサポート事業、リフォーム事業、ビルマネジメント事業
業種
建設・不動産
URL
https://www.tokyu-com.co.jp/
  • 脆弱性診断
選定ポイント
診断品質の高さと、運用面を考慮した上で具体策を示す診断報告書
設定項目が多く、セキュリティ対策の判断が難しいAWSに対応できる技術力を持つ専門家による、質の高い診断。検出された脆弱性の影響範囲や、運用面を考慮した上で具体的な対策を示す分かりやすい報告書に加え、開発ベンダーへの丁寧なフォローが決め手に。
導入の効果
影響範囲や優先順位が可視化された報告書により、ノウハウを蓄積
診断後の報告書には、検出された脆弱性の影響範囲や対策方法、その優先順位が分かりやすく可視化されており、継続して診断を実施することで開発側も注意すべきポイントなどを理解することができ、ノウハウが蓄積される。
診断員による柔軟な対応で、対応工数を軽減
依頼元の状況にあわせた契約体系による柔軟な対応。診断後は、開発ベンダーへの丁寧なフォローにより、検出された脆弱性の改善に至るまでの工数削減に貢献。
定期的な診断により、最新のAWS仕様に対応したセキュアなサービス提供に貢献
定期的な脆弱性診断を実施することで、AWSの仕様変更にも対応。最新情報をもとにした診断でセキュリティリスクを軽減し、安全なサービス提供に貢献。

東急不動産ホールディングスのグループ企業として、マンション管理やビル管理、建物のリフォームなどを手がける株式会社東急コミュニティー。同社では顧客向けにさまざまなツールやサービスを提供しており、最近ではAWSを活用したサービス提供も増えてきていることから、こうした基盤のセキュリティ対策は大きなテーマでもあり、エムオーテックスが提供する「LANSCOPE プロフェッショナルサービス」の脆弱性診断サービスを利用している。
サービス導入の経緯や効果について、株式会社東急コミュニティー 経営戦略統括部 グループIT推進部 ITインフラ企画課 課長の宮ヶ原 和幸 氏と、経営戦略統括部 グループIT推進部 ITインフラ企画課 飯田 康範 氏に話を聞いた。

個人情報を取り扱うサービスを安全に提供するため
セキュリティ専門家による脆弱性診断の利用を検討

まず宮ヶ原氏は、同社のセキュリティ指針について、「東急不動産ホールディングスがグループ全体のセキュリティ指針を定めており、グループ会社である東急コミュニティーは、その指針に沿って脆弱性診断のベンダーやツールを選定・導入している状況です」と説明した。

同社は、マンション管理組合向けの会計システム「住む~ず」を提供していますが、その中の『承認ナビ』機能を使えば、マンションの支出に関する承認手続きをWeb上で行うことができ、顧客である管理組合は時間や場所を選ばずに承認作業を行えます。「不動産業界全体の課題として、なかなかデジタル化・IT化が進んでいないという課題があります。そのような中で、『承認ナビ』の一機能でマンションなどの管理組合向けに、マンションの支出に関する承認手続きをWEB上で出来るサービスを提供しています。」(宮ヶ原氏)

『承認ナビ』は基盤にAmazon Web Service(以下AWS)を利用して構築している。近年はAWSの設定ミスに起因する情報漏洩の事案が盛んに報じられている。システム開発を委託している会社は最低限のシステム動作に関わる点については対応するが、アカウントの運用やAWS基盤を安全に運用するためのセキュリティ対策については対応されないため、情報漏洩リスクを最小限に抑えるためには、セキュリティ専門家による定期的な脆弱性診断の必要性を感じていたと宮ヶ原氏は振り返った。

AWSをはじめとするクラウドサービスでは、サービス事業者側による頻繁な機能・設定方法の追加・変更が発生する。ユーザー側でそうした情報をすべてキャッチアップする事は困難であり、意図しない設定変更により情報が外部に公開されてしまうといったセキュリティ上のリスクを抱えてしまう。そして、クラウドサービス事業者とユーザーの責任範囲の分界点上、クラウドサービスの管理設定不備によるセキュリティインシデントは、ユーザー側の責任となってしまう。
「弊社のサービスは、多くの個人情報を預かっているという特性があります。お客様の大切な個人情報を漏洩させるという重大インシデントを発生させないため定期的に脆弱性診断を実施することで、自社サービスの安全性を確保したかったです。」と宮ヶ原氏は話した。

設定項目が多いAWSに対応した高い診断品質に加えて
具体策がわかる報告書ときめ細かなサポートが決め手に

同社は、エムオーテックスの脆弱性診断を約15年前から利用してきた。その経緯について、飯田氏は「診断対象となるシステムによって、複数のセキュリティベンダーを使い分けており、エムオーテックスもその中の1社でした。3〜4年前にAWSの設定診断サービスを行うベンダーを選定することになった際に、それまでの脆弱性診断サービスの提供実績に加え、コスト面や技術力などを総合的に判断してエムオーテックスを選定しました。AWSを利用した弊社システムでは個人情報を多く取り扱っているため、年に1回、定期的な診断を実施し、脆弱性がないことを確認する取り組みを継続しています」と説明する。

決め手となったポイントとして、飯田氏は「診断結果の報告を受けた後も、とるべき対策や対応について手厚いサポートが受けられる」点を挙げた。
「システムの開発ベンダーと弊社の間で、脆弱性診断の結果や改善方法についての認識に齟齬があった場合にも、電話やメールなどでエムオーテックスに直接確認し、対応方法について確認ができるサポート面を評価しました。」(飯田氏)

経営戦略統括部 飯田 康範 氏
経営戦略統括部 飯田 康範 氏

また、飯田氏は、分かりやすい診断報告書についても評価ポイントに挙げ、「検出された脆弱性の影響範囲から運用面を考慮した上での対応の優先順位、対策を行わないときのリスクまで可視化したレポートをご提供いただいています。優先順位付けやどこまで対応すべきかの判断材料となる情報も提供してくれる点が魅力的でした」と話した。

AWSは設定項目が多く、 CISベンチマークやクラウドサービスのガイドラインなど、専門機関が推奨する診断項目が約100以上もあり、専門的な知識やノウハウがない状態で独自で調査し、問題のない設定か否かや、セキュリティリスクに対する対策の是非を判断するのが困難という性質がある。そして前述の通り、AWS側での仕様変更も頻繁にあるため、セキュリティ専門家による推奨設定や、「なぜその設定が必要か」といった対策の根拠までを示す、プロフェッショナルできめ細かなエムオーテックスのサポートが高く評価されている。

AWSの設定診断に留まらない、柔軟な対応と丁寧なフォローがセキュアな開発やサービス提供全体に大きく貢献

同社のシステムに対するエムオーテックスによる脆弱性診断は、AWSをはじめとするクラウド基盤以外にも、WebサイトやWebアプリケーションを対象としたものなどもあるとのこと。

脆弱性診断の流れとしては、担当部署からシステムやWebサイトなどのリリース・公開予定の相談を受けた飯田氏が、まずはエムオーテックスの担当者と費用やスケジュールの調整を行っている。「診断期間は約1週間、報告書提出までトータルで約1ヶ月間」というのが一般的なスケジュールとなっている。その後、診断で検出された脆弱性や指摘事項への対応に約1ヶ月を要するため、プロジェクト期間としては約2ヶ月間となっている。

エムオーテックスの脆弱性診断サービスは、お客様に合わせて柔軟な契約形態で提供しており、同社では「チケット制」での契約とすることで、あらかじめチケットを購入しておき、診断案件ごとに振り分けて利用する形としている。

飯田氏は「案件発生ごとに社内手続きをして1件1件発注するといったフローでは、診断開始までに時間を要してしまい、システムやWebサイトのリリース・公開スケジュールに影響が出ていました。チケットとして、弊社が想定する診断依頼件数であらかじめ一括契約させていただき、診断案件をチケット管理で運用していくという柔軟な体制にご調整いただけていることで、リリース遅れ防止という課題解決に繋がり非常に助かっています」と話した。

経営戦略統括部 宮ヶ原 和幸 氏
経営戦略統括部 宮ヶ原 和幸 氏

また、宮ヶ原氏は、改めてエムオーテックスの「診断と報告書の品質」や「診断後のフォロー」を評価していると述べ、特に、パートナーと分業して脆弱性診断サービスを提供しているベンダーもある中で、エムオーテックスではWebアプリケーション、サーバー、ネットワーク、クラウドなど、多岐にわたる対象を全て自社完結で診断している点を評価した。

前述の通り、AWSは設定項目が多く、仕様変更も度々行われるため、診断を行うためには高い技術力が求められる。そしてこれは、AWSをはじめとしたクラウドサービスのみならず、すべての診断対象についても同様で、日々発見される脆弱性や新たな攻撃手法に対しては専門的な技術調査や研究が必要だ。ツールによる診断サービスを提供するベンダーも多い中、エムオーテックスの脆弱性診断サービスは、セキュリティトレンドを押さえたセキュリティ専門家が手動で丁寧に診断を実施している点が特長となっている。

飯田氏は、専門家による診断報告書について、「例えばAWSの診断時には、検出された設定不備や脆弱性の影響範囲や対策方法、その優先順位などをわかりやすく可視化したレポートをご提供いただいています。AWS基盤で開発・運用する際に注意すべきポイントや遵守すべきガイドラインの項目、設定不備や脆弱性が検出された項目と対策の根拠を、セキュリティ診断依頼側の我々もよく理解することができ、診断を重ねるごとに自社へのノウハウ蓄積につながっています」と評価した。

検出された脆弱性の影響範囲や対策方法などが可視化された報告書(イメージ)
▲ 検出された脆弱性の影響範囲や対策方法などが可視化された報告書(イメージ)(クリックで拡大)

「システムの開発ベンダーは、仕様書で定められた設定のみを行うベンダーがほとんどであるため、弊社側からあらかじめガイドラインや要件を示すことで、より安全性の高いWebサイトなどの構築につながっています。」(飯田氏)

また、この診断報告書に対し、依頼元である同社だけでなく、システム開発のベンダーも交えた3社で対話する形式でフォロー可能なセキュリティベンダーは、エムオーテックスのみだったという。柔軟な対応により、指摘事項や対応内容について関係者の認識の差を埋め、より安全な開発体制とすることができている点を飯田氏は評価した。

さらに、このように脆弱性診断を定期的に実施することで、万が一、お客様からセキュリティに関するお問い合わせを受けた際にも、「安全なサービスを提供できている」と回答できる体制が整ったことも同氏は評価した。

「弊社では多くの個人情報を取り扱っているため、セキュリティ面において十分な対策を行い、外部に対して、自社がどのような対策を行っているか、責任持って説明できるようになったことが、長らくエムオーテックスの脆弱性診断サービスを継続して利用してきた効果だと感じています。」(飯田氏)

脆弱性診断の効率化をサポートする取り組みに期待

同社では今後、「脆弱性診断の一部内製化」についても検討している。会社として新たなサービス領域が増え、サイバーセキュリティの重要性もさらに高まる一方、コスト削減も模索しているということで、診断ツールを自社で導入・運用することで一部の脆弱性診断を内製化することを検討しているということだ。

宮ヶ原氏は、この展望に対する課題として、「ツールを活用して脆弱性診断そのものを実施することはできると思います。しかし、診断結果をどのように判断し、対応・改善につなげるかという段階では、やはり専門的な知見・ノウハウやスキルを持った人材が社内に必要となってきます」と述べた。そのため、エムオーテックスには、今後も脆弱性診断サービスの提供や、さまざまな面でのサポートを通じ、社内への専門的知見・ノウハウの蓄積や、セキュアな開発のためのスキルアップを支援してほしいとの期待を述べ、締めくくった。

※本事例は2024年11月取材当時の内容です。

製品ページを見る