透明性の高いセキュリティ対策で、顧客に安心を提供

約40万ライセンスのERPシステムを守るセキュリティ対策

同社では「manage（マネージ）」とともに、SaaSを活用して最適な業務プロセスを構築するバックオフィス業務のDX支援サービス「mixsol（ミクソル）」を提供している。いずれもバックオフィス業務を効率化するソリューションだ。

特に「manage」は大企業を中心に1000社以上の導入実績を有し、ライセンス数は40万におよぶ、勤怠や人事台帳、経費精算、会計、予実管理、グループウエアワークフローなど複数のバックオフィス業務のアプリケーションが統合されたERP（エンタープライズ・リソース・プランニング）フロントだ。「顧客企業は必要に応じて使用するアプリケーションを選択でき、『manage』によって業務の可視化や、テレワーク・ペーパーレス化を推進します」と、杉山氏はその特徴を解説する。

「manage」を支えているのが、杉山氏・加藤氏・木野村氏が所属する同社のプロダクトサービス本部だ。杉山氏と加藤氏が所属する「manage クラウド基盤グループ」では、クラウド基盤として採用しているMicrosoft Azureの管理や仮想マシンの管理、クラウド上で提供しているサービスの管理などを担当。木野村氏が所属するプロダクト開発部業務アプリグループでは、法改正への迅速な対応や、顧客からの要望を取り入れた、年3回の定期バージョンアップなどプロダクト開発を担当している。

リソース不足を補うセキュリティ対策と専門家の役割

WAFの導入および脆弱性診断実施の背景となった、セキュリティの課題とは何だったのだろうか。杉山氏と木野村氏は、クラウドサービスへの移行後もレガシーシステムが残っている点や、最新のセキュリティ対策にリソースが割けていない点を挙げ、その補完として、SSTのクラウド型WAF「Scutum」と脆弱性診断を活用していると語る。

「もともとパッケージ製品として開発された『manage』は、メジャーバージョンアップでUIを大きく変更しましたが、システムの根幹部分はこれまでのものを引き継いでいる箇所も多々あります。2019年ごろからクラウドへの移行を開始し、現在はクラウドサービスとして提供していますが、パッケージ製品のままクラウドに移行した部分もあって、まだ真のクラウドネイティブサービスにはなりきれていないのが現状です」（杉山氏）

 

 

「『manage』の前身となるシステムは20年ほど前に開発されたもので、新しい機能を追加しながら改修を続けています。このような長期運用においては、新たな技術や脅威に対応するため、セキュリティ面の見直しが必要になります。また、『manage』では勤怠や給与計算など、非常に機密性の高い情報を扱っています。そのため、不正アクセスのリスクは常に念頭に置いておく必要があります」（木野村氏）

また、木野村氏は自社内での継続的な改修と並行して、継続的な診断の必要性についても言及する。

「過去にSSTに依頼した脆弱性診断において、WAFだけでは防ぎきれない種類の脆弱性への対策の重要性を再認識しました。このような課題に対しては、継続的な脆弱性診断と改修が必要不可欠です。しかし、開発部員全員がセキュリティに対する高度な知見を持っているわけではなく、新機能開発などへ優先的にリソースを割いているため、セキュリティ対策に十分注力できていない状況もあります。この不足を補うため、セキュリティ専門家による脆弱性診断やWAFサービスを活用しています」（木野村氏）

 

 

担当者の熱意でWAF継続を決断

「SSTとの最初の接点は、クラウド型WAF「Scutum」の導入時でした。最初は、当時の部署が異なるため、SSTが脆弱性診断も行っていることを知りませんでした。WAFと同じ会社が脆弱性診断も担当していることを知り、一貫したセキュリティ体制に安心しました」と杉山氏は振り返る。

「他社の脆弱性診断サービスを経験したことがないので、比較は難しいのですが、SSTとのやり取りは非常にスムーズでした。特に、コミュニケーションコストが低く、作業がしやすかったという印象があります。診断中の質問も簡潔で的確で、スムーズに対応できました。また、診断結果の説明が分かりやすく、危険度の分類も明確だったので、優先順位をつけて対応しやすかったです。さらに、改修後の再診断まで行ってくれるので、非常に助かりました」（木野村氏）

加藤氏は、WAFベンダーの見直しを検討した際、SSTの担当者の熱意に触れたエピソードを語ってくれた。

「2017年のScutum導入以来、昨年は他社を含めて比較検討することになりました。その際、Scutumの営業担当者から私たちの期待を超える提案をいただき、セキュリティの安全性を保つためにScutumの継続を決めました」（加藤氏）

 

 

これからセキュリティ企業に求めることは包括的なサポート

セキュリティ企業に求めることは、セキュリティの堅牢さだけではない。今後もSSTのサービスを利用し続けるにあたり、COELが求めるものは、単なる防御性能や診断結果の提供にとどまらず、より包括的な情報提供と、それを社内外に対して効果的に活用するための可視化だという。

「今後、セキュリティの専門企業に期待することは、より積極的な情報提供です。例えば、我々が使用しているプラットフォームや特定の技術に関連する新たな脆弱性情報を、製品への影響を踏まえて教えてもらえると非常にありがたいですね。また、現状のScutumの管理コンソールは、シンプルで必要な情報を迅速に確認できる点が優れており、問題発生時にも非常に適していますが、WAFの効果を視覚的にわかりやすく表示する工夫があると、定期的な確認や将来の運用計画を立てる際にも役立つと思います」（杉山氏）

「開発者の立場から、脆弱性診断に関しては、現状でも非常に満足していますが、さらに改善の余地があるとすれば、より詳細な技術的アドバイスがあると助かります。例えば、さらに踏み込んだセキュアコーディングのベストプラクティスなどの情報があれば、我々開発チームにとって一層有用だと感じます」（木野村氏）

顧客の不安を解消するセキュリティ対策の透明性

セキュリティ企業だけでなく、Webサービスを提供する企業も、セキュリティ対策の説明責任を果たすことが求められる時代だ。COELでは、社員のセキュリティ意識向上のため、業務時間のうち月4時間まで社員が自分の学習時間に充てられる制度を導入し、自社主催の講座も開講している。「ちょうど先週は、『セキュリティ週間』のようなかたちで、セキュリティ関連の講座を集中して開催する期間を設けました」と杉山氏は語った。

さらに、セキュリティ対策の技術的な根拠や有効性について、顧客に適切に説明し、安心感を与えることが、これからの時代には不可欠だ。COELは、顧客の多様なニーズに応える柔軟な情報提供や最新の技術を安全に活用するための取り組みを強化する必要性を感じている。

「顧客企業のセキュリティに対する要求レベルは多種多様ですが、共通しているのは、自社のセキュリティ対策が適切であることを、上層部に説明できるような根拠を求めているということです。単に『何も起きていないから大丈夫です』という漠然とした回答ではなく、具体的な数値や事例に基づいた、客観的な評価を求めているのです。例えば、どのようなセキュリティ対策を実施しているのか、その効果はどの程度なのか、万が一問題が発生した場合の対応策はどのようなものなのかなど、具体的な説明を求められます」（杉山氏）