初となる自社開発サービスを自信を持ってリリースするために選んだ「信頼できる脆弱性診断」

「信頼のおける第三者機関」によるセキュリティ診断の必要性が生じた理由とは

独立系の情報サービス企業として、1991年の創業以来30年以上にわたり、システム開発、インフラ構築、システムサービスの管理・運用をサポートするサービスを提供し続けているHLC。現在は約800名の社員を擁するITソリューション企業として、全国各地に拠点を展開している。創業以来の強みは銀行系を中心とした金融系のIS事業となっていると内城氏は語る。

「当社はさまざまな企業の基幹業務に関連するシステム構築を中心に、主にSIerを直接の取引先として提供しています。当社の設立時当初は銀行系のシステム運用が主力事業だったこともあり、その領域を軸にする形で業務領域を広げています。また、システム開発においては現在主流となっているオープン系はもちろん、従来型のホスト系の開発、運用、どちらも柔軟に対応できるのも強みとなっています」（内城氏）

「そうですね、金融、証券会社のシステムなども当社の強みとする領域です。また、物流関連のシステムなども手がけています。SIerから受託するケースは、セキュリティ要件はSIerもしくは当社基準になりますが、一部の公共事業案件ではSIerと一緒にセキュリティ周りに取り組み、政府が出しているガイドラインを参照しながら非機能要件などを提案することもあります」（武山氏）

 

 

HLCが脆弱性診断を検討した理由は、同社では初となる自社サービスの開発だった。これまでSIerを通じた開発を行っていたが、AWSのコンタクトセンター向けソリューションと連携するコールセンター向けCRMパッケージを自社開発。市場に提供するにあたり、第三者機関によるセキュリティ診断の必要性を感じていたという。

「AWSが提供する『Amazon Connect』というクラウドベースのコールセンターサービスがあります。コストを抑えて導入できる点が特徴ですが、業界内のコンタクトセンター向け製品と比較すると、機能の範囲が異なります。Amazon Connectをベースに、基本的な機能である顧客管理と問い合わせ管理が手軽に利用できるSaaSコールセンターサービスがあれば、今まで大手のシステムを導入できなかった中小企業向けに、市場を開拓できるのではと社内で考えたのが開発のきっかけです」（内城氏）

「一昔前はコールセンターをオンプレミスで立ち上げるとなると、CTIやPBX、INS1500回線を準備して、最低でも2000万〜3000万円くらいのコストがかかるものでした。クラウド型のサービスが普及して、数百万円程度で構築できるようになりましたが、まだコスト的に利用できない企業も少なくありません。またコロナ禍の影響で、自宅などのリモート環境でコールセンター機能を利用したいというニーズも増えています。そこで私たちも参入を企画しました」（武山氏）

初の自社サービスは、同社の持つ技術の活用を目的としたもので「技術と企業の体力や規模を調整しながら新しいサービスをゼロから作り出そう、という企業価値の向上を図るために生まれたプロジェクトです」と、内城氏は振り返る。外部公開するにあたり、セキュリティ上の配慮は強く感じていた。

「新しいサービスは、これまで手がけたBtoB向けシステムのなかでも、個人情報を取り扱う機能が多かったため、セキュリティ面での配慮が特に必要でした。過去にも当社の社内システムに対する脆弱性診断を実施した経験はありましたが、今回は商用サービスとして外部に公開するため、信頼できる第三者機関によるフルチェックは欠かせないと感じていました」（武山氏）

診断依頼の決め手は「前回の診断に対する高評価」

HLCがセキュアスカイの脆弱性診断サービスを利用したのは、今回が初めてではなかった。2016年に、HLCが自社で開発を手がけた社内業務システムの脆弱性診断を行っていた。その経験が、今回もセキュアスカイへの依頼につながったという。武山氏は、当時セキュアスカイの脆弱性診断を選んだ経緯を、次のように振り返った。

「自社の社員の経歴を管理するシステムのスクラッチ開発を行いました。社内限定でオンライン公開するため、第三者機関のチェックが必要だという話になり、セキュリティ会社を探していたんです。その時、出向中の社員から『出向先の企業でセキュアスカイの脆弱性診断を利用した際、社内で評判がよかった』との情報をもらいました。そのうえで、他社とも比較しまして、診断対象となるシステムの規模感とセキュアスカイの脆弱診断の検査内容および費用感が、こちらのニーズに最もマッチしていました。また、期間内なら再診断を1回無料で受けられるという点も魅力的でした」（武山氏）

 

 

「その後の脆弱性診断でも当社社内での評価が高かったですし、すでにお付き合いのある会社ということもあり、今回の新規ソリューションの脆弱性診断でも、他社と比較することなく真っ先に相談させてもらいました。特に、SaaSサービスとして公開するにあたってのセキュリティ上の穴が、自分たちのチェックだけで本当に大丈夫かどうか、信頼性の高い第三者機関による検査が顧客に対して安心感も提供する必要がある。そこでセキュリティ専門家の観点からの検査やアドバイスを受けたいと考えました」（内城氏）

今回の脆弱性診断での診断結果についても、事前の期待を裏切らないものだったと両氏は語る。特に、危険度の高い脆弱性が検出された場合に即座に結果が連絡される「速報サマリ」によって、発見された脆弱性を改修する時間的余裕が生まれ、リリーススケジュールを守ることができたという。

「診断の結果、セキュリティリスクをしっかりと見つけていただけて本当によかったです。診断報告書の完成前に、速報サマリとして報告を受けた緊急性の高い脆弱性から応急処置を行うと同時に、開発側でも原因の改修を進め、すぐに対応するという流れで進めました。速報サマリのおかげで、最終報告を待たずとも事前に対応の準備が進められたため、スケジュール通りにリリースができました。迅速なフィードバックが非常に助かりました。」（内城氏）

「こちらから詳細を問い合わせする必要はほとんどないほど、いただいた速報は的確な内容で改修もスムーズに対応できました。また、内部の作り込みはオフショアでの開発だったため、診断報告書の結果を踏まえた脆弱性の改修はオフショア先の会社の協力を得ながら対応しました。その際の情報共有も報告書のおかげで速やかに行えました」（武山氏）

診断を経て、経営層にもセキュリティ意識が浸透。現場のセキュリティ施策のサポートにも

 

 

今回の診断を通じて、社内でのセキュリティ意識も高まったという。HLC社では年1回のセキュリティ研修に加え、技術部門では毎月のセキュリティチェックリストによる取り組みも行っている。また、部署単位でのセキュリティ教育も実施中だ。

「脆弱性診断を実施してからの大きな変化としては、開発の現場のみならず経営層にもセキュリティの重要性が浸透した点です。診断後は経営陣から「診断を実施するべき」と声があがるようになりました。経営の観点からも『脆弱性診断は必要不可欠だ』という意識づけになったと思います。また開発のプロセスにおいても、大きめのエンハンス開発があればその都度診断を行うとともに、その時々で変化するセキュリティリスクに対応するために、定期的な脆弱性診断を行いたいと考えています（内城氏）

「脆弱性診断を実施する以前から、部署単位で分科会を立ち上げ、セキュリティ研修やセキュリティ教育を行っているところもあります。従来はオンプレミスでのサーバ環境構築にともなうセキュリティはインフラ部隊が担当していました。しかし、クラウドが主流になっている現在は、インフラ部隊の人間でなくてもクラウド上ですぐにサーバを構築できるようになりました。そのため開発環境の構築時に、セキュリティをどうするかという点も含めて、クラウドとセキュリティをセットで教育する取り組みを2020年から始めています。基本的なセキュリティに対する取り組みを補完する意味でも、自社によるセキュリティ対策に加え、第三者機関で『脆弱性検査を実施していた』という実績があるのは重要です」（武山氏）

継続的なセキュリティ対策をサポートするサービスへの期待

 

 

今後も継続的に診断を受ける予定のHLC。診断サービスへの評価と将来的な要望についても語ってくれた。

「セキュアスカイには我々にはできないレベルで調査をしてもらい、大変助けられたというのが率直な感想です。それ以上の改善を求めるような言葉は私からは出てこないほどです。強いて要望を挙げるとすれば、脆弱性診断の継続はランニングコストになりますので、どうしてもコスト抑制を意識せざるを得ません。自社サービスが増える際には、脆弱性診断を定期的に実施することの重要性を踏まえ、コストを抑えつつ継続的に利用できる方法について相談できればありがたいです。ボリュームディスカウントなどの料金面だけでなく、診断の頻度や範囲を最適化する柔軟な対応が可能であれば、より効果的にサービスを守り続けることができると考えています。」（内城氏）

「そうですね。個人情報を扱うシステムでは外部からのペネトレーションが少なくありません。プラットフォーム診断ではポートスキャンなどネットワーク調査を中心に実施してもらっていますが、どこにどういう穴が開いているかを細かく確認できるペネトレーションテストまで、予算に応じて行えると助かります。また、脆弱性診断を行う前に、開発段階で脆弱性を作り込まないようにするためのサポートがあると嬉しいです。セキュア開発のベストプラクティスや、開発者向けのセキュリティ教育などを通じて、脆弱性を未然に防ぐための支援を受けることができれば、診断時のやり取りも減らせ、より効率的に進められると考えています。」（武山氏）