株式会社ヒューマンインタラクティブテクノロジー様 Quick WATCH事例

メルマガ登録する

メルマガ登録する

ラックの専門家による「AIを採用したバランスの良い支援」で高水準のシステムを開発

システムやインフラ構築サービスを通して顧客の課題解決を支援してきたヒューマンインタラクティブテクノロジー（HIT）社は、以前からセキュアなシステム開発に取り組んできた。しかし、世間のセキュリティ意識が高まるにつれ、自社内での取り組みだけでなく、客観的な評価を求める声が寄せられるようになった。そこで同社が選択したのが、AIを活用するSaaS型Webアプリケーション脆弱性診断ツール「AeyeScan」を活用した、ラックのセキュリティ診断サービス「Quick WATCH」だった。

今回、HIT社によるQuick WATCH活用について、導入の背景や選定時の決め手となった以下のポイントも踏まえて木暮氏に話を聞いた。

自社内でのセキュア開発の取り組みに加え、第三者による客観的な評価を実現
ラックのセキュリティ専門家による「AIを採用したバランスの良い支援」で、HITによる対応を補完
わかりやすいレポートを参考に、検査と修正のサイクルをスピーディーに実現

背景と課題

HITはITプロフェッショナル集団として、システム開発やインフラ構築コンサルティングサービスを通して、顧客の課題解決を支援してきた。近年は、Microsoft AzureやMicrosoft 365など、マイクロソフトのクラウド導入の支援も展開している。

通常、システム開発では、機能要件と納期、コストといった事柄を重視する。しかし、サイバー攻撃が増加し、情報漏洩事件が多発する近年では、それに加えて、セキュリティという非機能要件も強く求められるようになっている。このためHITでは社内のセキュリティレベルを高めるだけでなく、顧客向けに構築するシステムにおいても必要十分なセキュリティ対策を実施してきた。

具体的には、システムに脆弱性を作り込まないよう各エンジニアがセキュアコーディングについて学び、開発プロセスの早い段階からセキュリティを意識して安全なシステムを構築するよう努めている。さらに、オープンソースの脆弱性診断ツールを用いてスキャンを実施し、プラットフォーム側の既知の脆弱性はもちろん、WebアプリケーションにもSQLインジェクションやクロスサイトスクリプティングといったよく知られた脆弱性が存在しないことを確認した上で納品する、という流れを整備しつつある。

だが、いくら「自社できちんとセキュリティをチェックしています」と言っても、「それは単なる主観にすぎない」と言われれば反論が難しくなる。実際に、木暮氏が携わったあるプロジェクトでは、顧客から「HIT自身の診断に加え、第三者による診断を行った上でシステムをリリースしたい」という要望が寄せられたという。

「お客さまが扱う情報の重要度が高いプロジェクトであることに加え、近年、不正アクセスが頻発しています。もし脆弱性を攻撃されて個人情報の漏洩につながれば、直接的な被害はもちろん、お客さまの信用やブランドも傷つきます。こうした情勢を踏まえ、客観的な立場からの脆弱性診断を採り入れることにしました」（木暮氏）

HITから顧客の担当者への説明はもちろん、顧客側担当者から上層部へ説明責任を果たす上でも、第三者的な観点での評価が求められていた。

ソリューションの選定

HITがまず考えたのは、外部のセキュリティ診断サービスの活用だった。ただ、診断までにさまざまな準備や調整が必要で、労力やコストがかかることが課題となった。

しかもこうしたサービスは、必要な時にその都度単発で診断を実施する「スポット契約」がほとんどだ。だが、目の前のプロジェクトだけでなく、他の案件でもセキュリティ診断を実施し、「HITのシステムはセキュリティ水準が高い」という付加価値を付与していくことを考えると、診断サービスという形態はそぐわないと考えた。一度きりではなく、クラウド基盤をベースに改修・修正を加えるたびに継続的に検査を行い、セキュリティを担保し続ける必要がある。

そんな悩みを抱いていた時に、ラックが提案したのが、エーアイセキュリティラボが開発したSaaS型Webアプリケーション脆弱性診断ツール「AeyeScan」を活用し、自社で繰り返しセキュリティ診断を実施できるようにするラックのサービス「Quick WATCH」だった。

ラックは、複数のセキュリティ診断サービスを用意しているが、その中からHITがQuick WATCH を選択したことには理由があった。Quick WATCHを活用すれば、ラックのセキュリティコンサルタントが監修した上で、AIのメリット、すなわちより少ない期間と労力で診断できるという利点が得られるからだ。

もう1つのポイントは、セキュリティ企業としてノウハウを蓄積してきたラックの支援体制だ。「かゆいところに手が届く」専門的な支援が得られるが、「すべてお任せ」でもない、バランスの良い支援体制を整えているところに安心感があったという。

「完全なコンサルティングサービスには『やり過ぎてしまう』傾向があります。われわれもエンジニア集団ですので、丸投げではなく、自分たちでできる部分は自分たちでやろうと考えていました。ただ、どうしてもセキュリティという専門性が求められる部分となると、手助けが必要になることがあります。ラックの支援はそのあたりのバランスが良く、コスト的にも適切でした」（木暮氏）

導入効果

HITはPoC（概念実証）を実施し、目の前にあるプロジェクトだけでなく、将来的にセキュリティ診断を内製化していく上でも有効であると判断し、Quick WATCHの導入を決定した。導入に当たってはラックの専門家とともに、どの水準を満たせば顧客の要望に応えられるかを検討し、ベースラインを形作っていった。

実際に検査を始めて届いたのは「ここまで検査が簡単になるのか」というエンジニアからの驚きの声だった。一般に、Webアプリケーションのセキュリティ診断を実施する際には、どの画面でログインし、どのように画面遷移が行われ、どんな順番でサイトを巡回していくかというシナリオを人間の手で作成し、ツールに教える必要がある。だがAeyeScanではAIを用いてその部分を自動化している。人手による作業の手間がかからず、十二分に目的を達成できることがわかったからこその、喜びの声だった。

プロジェクトチームは年度末までにセキュリティ診断を実施し、適切に修正を加えてリリースしなければならないというプレッシャーにさらされていた。当初現場には、「検査をするのはいいが、何が出てくるかわからない。もし対策が間に合わなければどうするんだ」という緊張感が漂っていたという。

しかしQuick WATCHを活用し、ラックのセキュリティ専門家による支援を得ることで、スピーディーに検査と修正のサイクルを回すことができた。検出された脆弱性に対しては顧客に対策の方向性を説明した上で一通り対策を実施し、再度Quick WATCHによるスキャンを実施して問題が修正されていることを確認した上で、無事にリリースにこぎ着けた。レポートも生成されるため、効果も説明しやすかったという。

「検出された脆弱性の中には、自分たちで判断して直せるものもあれば、解釈がわからないものもいくつかありました。解釈に迷うものについてはラックに問い合わせました。例えば『WAFのログと付き合わせながらどう判断していくべきか』といった相談に乗ってもらうことができました」（木暮氏）

今後の展開

コストや時間を無限にかければ、究極のセキュアなシステムが実現できるかもしれないが、それは現実的ではない。HITではこのプロジェクトを皮切りに、「どこまでがNGで、どこからはOKか」というセキュリティ基準を形作った。AeyeScanというツールと開発するシステムの特性の双方を踏まえながら、ライフサイクルの中でどうセキュリティスキャンの網羅性を維持し、セキュリティ品質を保っていくかという課題に取り組んでいく。

「われわれ自身の手でセキュリティ診断を実行できることには、それだけで高い価値があると考えています。われわれがこの先リリースしていくシステムやサービスのセキュリティを、セキュリティ専門家の支援を受けた上で自分たちの手で担保していけるのは、非常に心強いことだと考えています」（木暮氏）

そして、システムインテグレーションサービスやマネージドサービスの付加価値を高める武器として、AeyeScanとラックの脆弱性診断コンサルティングを組み合わせたQuick WATCHを活用し、お客さまとの信頼関係を作り上げいきたいという。「単に技術やシステムを提供するだけではなく、『HITなら安心』という安心感を付加価値として届けられる存在になることを目指しています」（木暮氏）