クラスメソッドでは、GMOサイバーセキュリティbyイエラエの脆弱性診断を導入しています。第三者機関による厳しい診断を通じて、ユーザーに対し、よりセキュアなWebサービスを提供しようと始めたものです。
脆弱性診断の導入で得られたメリットはもちろん、導入経緯や今後の展望まで、AWS事業本部 サービス開発室の古澤豊樹に話を聞きました。
第三者機関による評価を受けてさらなるセキュアな環境を
古澤が所属する当社AWS事業本部では、AWS総合支援サービス「クラスメソッドメンバーズ」を提供しています。AWSのリセールからコンサルティング、システム構築後の運用保守代行まで、AWSクラウド環境を広く支援しています。
クラスメソッドメンバーズでは、お客様向けにクラスメソッドメンバーズポータル (以下、CMP)というユーザー専用の管理ポータルサイトも提供しています。AWSのプロダクトごとの費用や、利用状況をグラフで確認できるため、コスト最適化に寄与することができます。ほかにも、請求代行、当社への問い合わせ窓口への導線などの機能も有しています。CMPはセキュリティ強化にも数年前から注力しており、AWS事業本部では2018年からセキュリティに関する定例会を開催してきました。前職でセキュリティ関連企業に勤めていた梶浩幸がコンサルティング部に在籍していたこともあり、彼の知見をクラスメソッドメンバーズのサービスに生かせないかということで、コンサルティング部も参加し、定例会は2週間に1回の頻度で開催されました。定例会では、クラウドセキュリティをメインに、広くWebセキュリティ全般について議論しています。
「CMPはお客様に安全を提供しなければならないサービスですので、セキュリティをきちんと担保し、お客様にもご安心いただけるようアピールできる状態にしたいと意見が出ました。定例会の中でも第三者機関による評価は有効だろうという結論になり、脆弱性診断のサービスを導入することになったのです」(古澤)
明朗な料金設定とホワイトハッカーの手動診断が採用の決め手
脆弱性診断の導入にあたり、半年間にわたってさまざまな企業のサービスを検討しました。最終的に採用したのは、GMOサイバーセキュリティbyイエラエの脆弱性診断です。
このサービスは、攻撃者の観点からセキュリティチェックができ、診断メニューも「NFT・ブロックチェーン脆弱性診断」「クラウド診断」「デスクトップアプリ診断」「Webアプリケーション診断」「スマホアプリ脆弱性診断」「プラットフォーム診断」「AIセキュリティ診断」まで幅広く取り揃えています。
導入の決め手には2つの理由がありました。1つはわかりやすい料金設定です。システムの診断箇所を事前に見積もることは一般的に難しく、見積料金の詳細を明らかにできないことも珍しくありません。一方、このサービスでは、APIリクエスト数に応じて決定された明朗な料金設定になっています。無駄のない従量課金制でコストパフォーマンスが高かったことが決め手の一つになりました。
2つ目は、世界トップレベルのホワイトハッカーによる手動診断が行われる点です。自動診断にはない「安心感があります」と古澤。攻撃手法に関する豊富な知識と最先端の技術を持つホワイトハッカーが仮想敵となり、セキュリティ上の問題の可視化と課題解決を支援してもらえることに魅力を感じたと言います。
「これからセキュリティ対策に注力しようと考えているIT企業にとっては、入門編として活用してみるのもいいと思います。エンジニアは集中してコードを書きたいという方が多いと思います。ただ、セキュリティツールの中にはかなりの頻度でアラートが飛んでくるものもあるので、そのたびに集中力が削がれ、モチベーションの低下につながってしまうかもしれません。それに、セキュリティに対してネガティブなイメージを持ってしまい、通知をオフにされてしまうと元も子もないでしょう。そんな中、脆弱性診断は開発者体験を維持したままセキュリティ対策を行えますので、特にアプリケーション開発者にとっても負担が少なく、今すぐ始められるセキュリティソリューションだと感じています」(古澤) 診断レポートで対応すべき箇所の優先順位が一目で
当社は、GMOサイバーセキュリティbyイエラエの「脆弱性診断」をセキュリティの健康診断と称して、毎年行うようにしています。CMPはこれまでも大規模な機能追加・改修を行っており、年度によって管理画面、認証認可基盤など、アップデート箇所は異なります。そのため、それぞれの年の診断範囲も異なり、よりセキュアなサイト環境になるように心がけてきました。
このサービスでは、診断後に詳細な報告レポートが送られ、オプションにはなりますが報告会も開催されます。報告レポートでは、診断を行った箇所が一覧で記載され、その箇所ごとに脆弱性のレベルが「緊急・高・中・低・情報」で表示されます。対応すべき箇所の優先順位が一目でわかることで、リスク対応が効率的になったと古澤は言います。
もしリスクレベルが緊急のものが検出された場合は、レポート作成を待たずに診断期間中に即座に通知をもらえます。また、GMOサイバーセキュリティbyイエラエはレポートを作成する際に、単純にリスクがある箇所の優先順位を決めているわけではなく、その企業のサービス特性も考慮した采配を行っています。
「例えば、クレジットカードを扱うようなシステムと、ブログサービスでは同じ脆弱性であったとしても、攻撃されたときに被害が大きくなりそうな緊急性の高さを鑑みてリスクレベルを検討いただいています。この場合だと当然クレジットカードを扱うシステムではリスクレベルは高くなりますね。このあたりの議論を、診断後の報告会で聞くことができ、非常に参考になりました。レポートは修正対応完了後に事業本部内で共有し、他チームとも情報共有しています」(古澤)
診断後の報告会では、実際に脆弱性診断を行ったホワイトハッカーらが参加し、診断内容やその対処方法についてディスカッションが行われます。毎回、当社からはフロントエンド、バックエンドに携わるメンバーや他部署のメンバーまで参加して、熱心に聞いています。
さらに、このサービスには「再診断」というオプションもあります。実際に指摘された脆弱性を修正した後に、その箇所をもう一度診断できるため、徹底的に脆弱性がある箇所をなくし、堅牢なセキュア環境を作ることが可能です。
今後は新規プロダクトのリリース前には必ず脆弱性診断を行う
今後は、年に1回の診断だけでなく、新規のプロダクトについてはリリース前に必ず「脆弱性診断」を実施するようにしていく考えです。
また、GMOサイバーセキュリティbyイエラエのサービスに「ペネトレーションテスト」というものがあります。これは、ホワイトハッカーが攻撃者と同じ視点でシステムへの侵入テスト(模擬攻撃)をするサービスです。より強固で高度なセキュリティ環境を構築するため、このサービスの導入も現在検討しています。
クラスメソッドでは組織のセキュリティガバナンスを強化しており、全体ガイドラインを作成中です。その中で、新規プロダクトをリリースする前には必ず「脆弱性診断」を行うということを明記する予定で、会社全体でセキュリティを強化する動きが加速して参ります。
