10年以上の信頼を寄せる、分かりやすい報告書の役割と重要性

 

企業間をまたぐビジネスプロセスの業務最適化ツールは、きめ細かい認証・権限カスタマイズが特徴

「ものづくり」に係るあらゆる業務/情報を管理する製造業のためのデジタルプラットフォーム「mcframe」、クラウド型国際会計&ERPサービス「GLASIAOUS」と並ぶ、B-EN-Gの自社開発によるパッケージ製品の一つが、部門・会社にまたがるプロセスと情報をつなぐ「Business b-ridge」だ。その特徴を、「Business b-ridge」のプロダクトマネージャーとして製品全体の責任者を務める三浦氏は次のように語る。

「サプライチェーン（製品の製造から販売までの供給を軸とした業務プロセス）とエンジニアリングチェーン（設計を軸とした業務プロセス）といったビジネスプロセスには、部門間や企業間をまたぐコラボレーションが欠かせません。『Business b-ridge』は、データの一元化や進捗の見える化の仕組みだけでなく蓄積された情報を活用するところまで、ユーザー企業がシナリオを描けるツールです」（三浦氏）

 

 

「Business b-ridge」は特定の業務に特化したパッケージではなく、ユーザー企業からの業務ヒアリングを元に作り上げられ、それぞれの業務に最適化される。主なユーザーは製造業の企業。その取引先となる原材料調達元の企業や、製品の納品・販売先の企業と共同で使用するシステムとなっており、一つの社内で閉じられた業務体系ではなく社外の人間も関わってくる。「大きな企業ほど関係する取引先も多くなり、『Business b-ridge』の導入効果も高くなります。そのためセキュリティを強固にしないとユーザーからの信頼は得られません」と三浦氏は付け加える。

強みとなっているのが、認証に関する機能だ。顧客企業が採用している認証機能をそのまま使えるほか、データ権限のセキュリティコントロールや、すべてのデータの変更履歴やユーザー操作履歴がいつでも確認できるよう記録する。設定変更の履歴も残り、設定の変更を誰がいつ行ったかも追跡できるという。

『Business b-ridge』を含めたB-EN-Gが提供する製品全体のセキュリティ対策をサポートする立場である鶴田氏は、セキュリティ体制について次のように説明した。

「私の部署では、外部へ依頼する脆弱性診断の対応のほか、社内でも脆弱性診断を行ったり、セキュリティ対策の基準やチェックリスト作りを行ったりしています。Webアプリ系全般と環境周りのセキュリティをセキュリティ担当メンバー見ており、アプリケーションのセキュリティ機能は、三浦のチームが管轄しています」（鶴田氏）

「『Business b-ridge』の機能として、社外ユーザーと情報連携するときに、利用者のレコード閲覧範囲権限を管理する機能がありますが、利用する企業側で設定を忘れてしまったり、権限の設定を間違えてしまうと情報漏えいにもつながってしまうので、設定漏れやミスをさせない作りや仕組みになるよう常に注意しています」（三浦氏）

 

開発当初から定期的な診断を明文化。10年以上継続しているSSTの脆弱性診断

『Business b-ridge』は、2012年9月から継続してWebアプリケーションの脆弱性診断を実施している。その経緯を鶴田氏は次のように語ってくれた。

「『Business b-ridge』の製品企画は2011年の後半ごろから始まりました。時代的にオンプレではなく当初からSaaSとして開発を始めたところ、SaaSおよびWebアプリケーションならではのセキュリティリスクが相当あるということが見えてきました。セキュリティ対策をどのように実現すべきかを十分理解できていないなかで試行錯誤を繰り返しているときに脆弱性診断サービスの存在を知り、一度診断を受けてみることにしました」（鶴田氏）

 

 

しかし、脆弱性診断に対する知見がなく、そもそも何をするのかも分からないため、「自分たちがITベンダーとして脆弱性診断を学習する必要がある」と判断した鶴田氏が出会ったのが、現在SSTの会長を務める乗口だった。「乗口さんと知り合い、脆弱性診断とは何か、何を診断するのかを学ばせてもらったのがSSTさんとのお付き合いのきっかけです」と鶴田氏。
SSTが主催するセミナーやイベントに参加したり、実際に診断した結果の報告書を見てどのような脆弱性を具体的にどうチェックしているかのレクチャーを受けたりするなかで、脆弱性診断の基本を学び、IPAの発行する『安全なWebサイトの作り方』『ウェブ健康診断』なども合わせて参照しながら、Webアプリケーションに必要なセキュリティ対策の基礎を身に付けたという。

またb-ridgeサービス提供サイドとして「Business b-ridge」SaaS版の開発当初から、SaaSで提供するうえで、定期的に第三者によるセキュリティ診断を実施し評価を受けることを決めていた。

「開発のセキュリティレベルを最低限維持するための社内診断チェックリストを整備するとともに、脆弱性診断を必ず定期的に行うことを明文化しています。その運用の一環としてSSTさんの脆弱性診断を10年以上継続して受けています」（金子氏）

 

違いは「セキュリティ対策向上に繋がる」脆弱性診断報告書

企業によっては、定期的に診断会社を変えることで、多面的な診断を行うケースもある。B-EN-Gが、脆弱性診断の依頼先としてSSTを評価し継続的に選ぶ理由はどこにあるのだろうか。「Business b-ridge」の開発と運用、サポートの責任者を務める金子氏は、その理由が2つあるという。

「まず、『Business b-ridge』ならではの複雑性があります。権限のカスタマイズが細かく設定できるがゆえに、診断ポイントも非常に複雑になっていて、これを一から説明するのは大きな負担になります。ですがSSTさんには脆弱性診断を長年にわたって定期的に依頼しているため、その負担がほとんどありません。
もう1点は、SSTさんならではの理由で、診断報告書の品質です。他社の診断報告書では見方が分かりにくく、情報が少ないケースも多いのですが、SSTさんの診断報告書は見やすさが段違いで、検証しやすくありがたいです」（金子氏）

 

 

「私も同じ意見です。報告書が丁寧だから、どこをターゲットにして対策を講ずれば良いか分かります。SSTさんの診断はツールによる自動診断と手動診断とを併用されていて、手動の部分が特に丁寧なんです」（鶴田氏）

SSTの診断報告書の「見やすさ」「丁寧さ」について聞いたところ、金子氏は具体的な例を挙げて説明してくれた。

「診断報告書に書いてあるとおりに操作したらスムーズに事象が再現できること。また、開発者以外は気づかないような細かなパラメータまで調査し、その危険性と問題の再現方法、そしてなぜ脆弱性になるのかまで理解できるように説明されています。さらに、どのようなリスクがあるのかも分かりやすく、ここまで丁寧に書かれている報告書はなかなかないですよ」（金子氏）

 

“AI時代の新たな脆弱性”の発見や情報提供に期待

10年以上にわたる継続的な診断と改善により、「Business b-ridge」での脆弱性診断では年々と脆弱性検出数が減っている。直近の診断では結果が非常に良好で、検出された脆弱性について説明を行う報告会が不要になったほどだ。B-EN-Gのセキュリティに対する意識や探究心は非常に強い。しかし「私たちはアプリケーションの専門家であるがゆえに、これからの時代に対応するセキュリティ対策については、これまでの延長線上で考えることしかできていないと感じています」と、金子氏。「Business b-ridge」でもAIをはじめとした新技術を取り入れていく予定だと語る金子氏からは、新しい技術にともなう脆弱性の診断への期待が寄せられた。

 

 

「例えば、プロンプトインジェクションがあります。ChatGPTに情報を学習させカスタマイズしたオリジナルGPTに対し悪意を持った質問を行って、回答すべきでない機密情報やデータを回答させてしまう脆弱性です。AI時代のセキュリティ対策や、製品に組み込んだ場合どんなセキュリティリスクが発生するか、見えていない部分も多いですし、対策も研究機関が論文を発表しているレベルで実装できる段階ではありません。AI以外にも、今までJavaScriptで書いていたものがWebAssemblyに変わって、クライアント環境で動くようになっています。その場合のセキュリティもこれまでと同じ対策でいいのか思案中です。技術の進展も早く情報を常に追うのは難しい状況だからこそ、専門家に先行して情報を収集してもらえると、とても助かります」（金子氏）

続いて三浦氏は、アプリケーションの専門家にとっての「盲点」からの脆弱性診断を期待する声を寄せた。

「『Business b-ridge』を熟知してくれているから定期的に診断を依頼している、という話と相反するかもしれませんが…。『Business b-ridge』は設定のカスタマイズが柔軟にできるために、開発側が想定してない設定でユーザーが利用されることも少なくありません。実際に、私が『Business b-ridge』を初めて触ったときもそうでした。使い慣れていないからこそやってしまう『突拍子もないこと』という視点も加えた脆弱性診断を提供してもらえるとうれしいです」（三浦氏）

最後に鶴田氏からは、さまざまな企業のセキュリティを診断している専門企業に蓄積される情報のアウトプットへの展望が語られた。

「私たちは、自社の製品・サービスのセキュリティを対象にしていますが、SSTさんはさまざまなお客さまのセキュリティ情報が集まってきますよね。大きな脆弱性や脆弱性につながる問題が発見されたときには、企業の情報等は削除したうえで同じ業種やサービス形態の企業に対する注意喚起情報を共有できるといいですね。それこそがセキュリティベンダーの持つ強みだと思います。同様の仕組みは、SOC（Security Operation Center）にもありますので、SSTさんにも同じような要望は届いていると思いますが、ぜひ実現してほしいと思います」（鶴田氏）

---

ビジネスエンジニアリング株式会社について

https://www.b-en-g.co.jp/jp/

ビジネスエンジニアリングは、IT企画、BPR実施のビジネスコンサルティング、IT導入コンサルティングからシステム構築サービス、運用サービスにわたり、ERPを中心に豊富な実績を有するビジネスエンジニアリング企業です。またERPをベースとしたSCM導入やデジタル変革支援ならびにタイや中国をはじめとしたグローバル展開支援での実績を積み重ねています。同社は、中国・上海、タイ・バンコク、シンガポール、インドネシア・ジャカルタ、アメリカ・シカゴの5ヶ所に海外現地法人を有しています。