SaaSサービスの安全性を高める脆弱性診断が
社内セキュリティレベルの向上にも貢献

  3. SaaSサービスの安全性を高める脆弱性診断が社内セキュリティレベルの向上にも貢献

会社名株式会社ソリューション・アンド・テクノロジー

製品
会社規模
100~299名
事業内容
人事・経理・総務業務等のERPソリューション『WiMS/SaaS』の開発・提供
業種
IT・情報通信
URL
https://www.solty.co.jp/
  • 脆弱性診断
選定ポイント
診断員が手動で実施する柔軟できめ細やかな診断内容
ツール診断に加え、診断員が手動でも診断を行うため、サイバーセキュリティの最新動向や対象システムの特性を考慮した診断内容を評価
導入の効果
システム開発の状況に応じた柔軟な対応で、進行スケジュール厳守に貢献
サービスのリリース日から逆算して、その時点でのシステム開発状況を鑑みて対応可能な部分から診断を実施するなど、柔軟な対応を行い、進行スケジュールの厳守に貢献。
社内のセキュリティレベルが向上
診断を通じて蓄積されたノウハウを社内に共有することで、お客様からの問い合わせ対応の品質向上にも貢献。社内全体でセキュリティへの関心・意識も向上した。
セキュリティトレンドを押さえ、対象システムの特性を考慮した診断報告に満足
報告会を設け診断結果に加えて今後の予測や見解も提示。
対象のシステムやその状況に合わせた対応策を提示することで、よりセキュアなシステム開発に貢献。

業務効率化をはじめとする顧客課題に対し、業務分析からシステムの設計・構築・運用まで、効果的な支援を行う株式会社ソリューション・アンド・テクノロジー。金融取引法が要求する内部統制や労働基準法など、コンプライアンスに対応したシステム開発に強みを持つ同社では、ERPソリューション「WiMS/SaaS」のセキュアな提供を目的として、エムオーテックスが提供する「LANSCOPE プロフェッショナルサービス」の脆弱性診断サービスを利用している。
導入の経緯や効果について、同社デジタルイノベーションプロダクト統括部 チームマネジャー 川並 千宏 氏と、WiMS/SaaSビジネス統括部 クラウドテクノロジーグループ グループ長 長岡 英樹 氏に話を聞いた。

SaaSサービスのさらなる安全性向上と第三者機関による認定取得のため専門家による脆弱性診断サービスを検討

同社が開発・提供する「WiMSシリーズ」は、人事・会計領域におけるERPのフロント機能としてオンプレミス提供からスタートしたソフトウェアパッケージだ。2009年にSaaS化し、「WiMS/SaaSシリーズ」としてサポートサービスとともに提供することで、顧客企業のデジタルイノベーションを支援してきた。

長岡氏は、「お客様の課題に柔軟に対応するために自社で開発を行い、脆弱性診断を定期的に実施することでセキュリティ面からも品質を担保する取り組みを続けています」と、自社サービスの安全な提供のために脆弱性診断を実施していることを述べた。

しかし、脆弱性診断サービスの利用を検討した当初は、脆弱性診断の必要性を感じながらも、どの程度まで診断を実施すれば良いのか、また、お客様の利便性と安全性を両立に困難することが想定された。そのため、第三者視点での診断や、専門的な根拠に基づいた判断を行うことが安心感につながると考え、セキュリティベンダーによる脆弱性診断の実施を検討したという。

また昨今では、ASPICやISMAPなどのクラウドサービスの安全や信頼性、セキュリティレベルを評価する第三者評価制度の対応項目に、「定期的に外部機関による脆弱性診断を行うこと」が設けられるなど「サービス提供者にとって診断は欠かせない取り組み」になっていると長岡氏は説明する。

そのため、同社では「WiMS/SaaS」のプラットフォームに対する定期的な脆弱性診断を、原則、年1回実施している。加えて、機能の追加や改善などを行う際には、開発サイクルに合わせて年3回ほどのWebアプリケーション脆弱性診断を実施しているということだ。

川並氏は、「相当数の機能を有する『WiMS/SaaS』では新規開発機能の受診を必須としつつ、受診履歴に偏りやブランクが生じないよう仔細に配慮した計画・運営を徹底しています」と実情を述べた。

費用と診断内容のバランスが取れたコストパフォーマンスの高さと専門家による手動できめ細かな診断が決め手に

同社がエムオーテックスの脆弱性診断サービスを選定し、継続利用するに至る経緯について、長岡氏は3つのポイントを挙げた。

1つ目は、コストパフォーマンスの高さと実施内容のバランスだ。
一般的に脆弱性診断サービスはコスト面でばらつきがあり、高価格帯のサービスの中にはコンサルティングに近い内容も含むものがある。同社でもベンダー選定の際に、さまざまなサービスの比較検討を行ったが、エムオーテックスの脆弱性診断サービスが「弊社が求める内容とマッチしていて、コストと実施内容のバランスが取れていました」と長岡氏は評価する。

デジタルイノベーションプロダクト統括部 チームマネジャー 川並 千宏 氏
デジタルイノベーションプロダクト統括部
チームマネジャー 川並 千宏 氏

2つ目は、診断員が手動で行うからこその柔軟できめ細やかな診断だ。
川並氏は「最近では脆弱性診断を提供するベンダーが増え、中にはツールによる診断を提供しているケースもありますが、エムオーテックスの脆弱性診断サービスは、診断員がセキュリティの最新動向などを踏まえながら、手動で診断を実施してくれます。そのため、ツールでの診断だけでは見えてこないような脆弱性が発見できたり、優先度の評価を加えた分かりやすい診断結果を提示していただけます」と診断員が実施する柔軟できめ細やかな診断サービスであることを選定・継続の決め手に挙げた。

また、診断対象のシステム特性や開発体制への理解度もポイントとなっている。「開発スケジュールの都合で診断範囲が確定していない中であっても、柔軟に対応していただけるなど、開発側に寄り添ってもらえる安心感がありました」と長岡氏は述べる。
加えて、「WiMS/SaaS」は業務系システムであるため、「システムの分岐などが複雑で、ツールによる画一的な診断には向かないという特性があり、その点を考慮しながら手動で診断していただけるのは大きなポイントです」と川並氏は評価した。

3つ目は、京セラグループであることの安心感だ。
同社では、エムオーテックスの脆弱性サービスを2012年から利用している。「実は利用当初から、脆弱性診断のベンダーは数年の間隔で変更するといった工夫を行うと、別の視点での診断が行えてより効果的であるとの助言をいただいています」と長岡氏は明かした。これまでこのような助言があったベンダーはエムオーテックスだけで、こうした顧客視点の姿勢が信頼につながっており、長期利用の一因となっているということだ。

もちろん、エムオーテックスが京セラコミュニケーションシステム(KCCS)のグループ会社であり、京セラグループの中でサイバーセキュリティ事業を担っている会社であるというのも、社内への説明で理解を得やすい点だったと長岡氏は振り返る。

リリース時期を厳守する確実なスケジュール管理
トレンドを見越した報告会が社内セキュリティ向上にも貢献

エムオーテックスの脆弱性診断サービスの導入効果について、長岡氏は、開発体制に合わせた柔軟なスケジュール調整や、トレンドを踏まえた診断報告会の実施が社内のセキュリティレベル向上にも貢献している点など、5つのポイントを挙げた。

(1)開発スケジュール厳守に貢献するプロフェッショナルな対応
同社の製品リリースはおよそ半年間に一度のスケジュールとなっているが、もちろん開発の過程で当初のスケジュールに調整が入ることもある。同社からは、ある程度開発が進んだ段階で、診断開始の2〜3カ月前を目途にエムオーテックス側に「何月頃に診断を受けたい」という要望を伝え、スケジュール調整と診断依頼を実施している。

WiMS/SaaSビジネス統括部 クラウドテクノロジーグループ グループ長 長岡 英樹 氏
WiMS/SaaSビジネス統括部 クラウドテクノロジーグループ グループ長 長岡 英樹 氏

長岡氏によると、「製品リリース時期は決まっているため、エムオーテックス側で診断可能な部分から診断を開始いただくなど、柔軟な対応によりリリース日を守ることができている点が非常に助かっている」ということだ。

(2)診断員による細やかな視点での脆弱性診断
長岡氏は「診断で見つかったリスクに対して、それぞれリスク評価を行い、是正対応の優先順位付けをしてくれる点」を満足しているポイントに挙げた。診断結果の中の指摘事項において、「これは重要度の高い項目、これは業務系システムであれば必ずしも重要度は高くない項目、といったように問題を切り分けて報告いただけるので理解しやすく助かっています」ということだ。

また、川並氏は、ツールのよる診断だけでは見つけられないような脆弱性を発見できる点や、継続して診断を依頼することで、双方に知見とノウハウが蓄積される点も評価した。
「ツールのみを使った診断サービスでは、リスクを発見することはできるが、発見されたリスクへの対応方法や判断などのノウハウの蓄積は難しく、我々のように継続して開発を行っていく製品については、開発側にノウハウが蓄積できる点はありがたいです」と話した。

エムオーテックスでは定期的にインシデント情報などを収集、解析し適宜診断ルールに反映
▲ エムオーテックスでは定期的にインシデント情報などを収集、解析し適宜診断ルールに反映(クリックで拡大)

(3)「未来」も見据えた報告会の実施
診断結果は対面によるレビュー会で同社に報告されている。「報告書に記載されている内容について、質問があればエムオーテックスの診断員に直接回答いただいています。質疑応答によって我々の理解も進みますし、発見された脆弱性の是正のために必要な対応が明確になるのでとても有意義です」と長岡氏は話す。

また、「指摘がない事項でも、今後どのような対応が必要になりそうか、セキュリティトレンドを踏まえた助言もいただけるので、今後の開発計画に組み込むなど、よりセキュアな開発につながっています」と報告会の質を評価した。

(4)社内のセキュリティレベル向上
エムオーテックスの脆弱性診断を受けることによって、当初に比べて会社全体でセキュリティに関する取り組みへの関心・意識が高まったという。診断を通じて蓄積されたノウハウが社内に共有されることで、「お客様からの問い合わせに対しても、担当エンジニアが同じレベルで対応できる体制が構築できている」と川並氏は話した。

(5)ビジネスチャンスの拡大
同社が「WiMS/SaaS」を提案する際、顧客企業からセキュリティチェックシートの提示を求められるケースが増えてきているという。「以前のシステムはオンプレミスが主流でしたが、最近は業務システムのクラウド化が進んできているため、クラウドサービスならではの点で情報管理の要請がより厳しくなっています」と川並氏は話す。

こうした時勢もあり、顧客企業側でも任意で脆弱性診断を行うケースも存在している。「我々の製品は定期的に脆弱性診断を実施しているだけでなく、さまざまな状況に合わせた助言もエムオーテックス側からいただいているため、商談時にセキュリティ要件についてお問い合わせされるお客様に対して責任ある回答が可能となっており、ビジネス機会の拡大につながっていると感じています」と川並氏は評価した。

未知の脆弱性への対応など、今後も継続的なサポートに期待

今後について、長岡氏は、「新しい脆弱性に関する情報共有を継続いただけるとありがたいです。セキュアな製品開発のためにはセキュリティトレンドを把握することは重要だと考えており、特に未知の脆弱性への対応を踏まえた助言をいただきたいと考えています」とエムオーテックスへの期待を述べた。

また、川並氏も、セキュリティトレンドについて重視しているとして、「その脅威の影響範囲や影響度など、脅威動向の部分を有償無償問わず提供してもらえるとありがたいです。」と述べた。加えて、「脆弱性診断を通してエムオーテックスからフィードバックいただけることは、非常に役立つため、今後は社内のスキルアップのための講習などもお願いしたい。」と述べ締めくくった。

※本事例は2024年10月取材当時の内容です。

製品ページを見る