脆弱性診断で定期的なセキュリティ健康診断
Webサービスの安全・安心をより強化する一手

クラスメソッド株式会社

AWS事業本部 サービス開発室 古澤豊樹
クラスメソッド株式会社
公開日:2023年12月11日
BEFORE
  • セキュリティ対策の開発リソースをサービス向上に寄与させたい
  • 第三者機関によるセキュリティ対策は行っていなかった
  • 社外評価を通じてよりセキュアなWebサービスを提供したい
AFTER
  • 脆弱性診断の実行により堅牢なセキュリティ環境を実現
  • リスク対応箇所の優先順位がわかって着手が迅速化
  • 開発者体験を維持してストレスなくセキュリティ強化が可能

クラスメソッドでは、GMOサイバーセキュリティbyイエラエの脆弱性診断を導入しています。第三者機関による厳しい診断を通じて、ユーザーに対し、よりセキュアなWebサービスを提供しようと始めたものです。

脆弱性診断の導入で得られたメリットはもちろん、導入経緯や今後の展望まで、AWS事業本部 サービス開発室の古澤豊樹に話を聞きました。

第三者機関による評価を受けてさらなるセキュアな環境を

古澤が所属する当社AWS事業本部では、AWS総合支援サービス「クラスメソッドメンバーズ」を提供しています。AWSのリセールからコンサルティング、システム構築後の運用保守代行まで、AWSクラウド環境を広く支援しています。

クラスメソッド株式会社 クラスメソッドメンバーズでは、お客様向けにクラスメソッドメンバーズポータル (以下、CMP)というユーザー専用の管理ポータルサイトも提供しています。AWSのプロダクトごとの費用や、利用状況をグラフで確認できるため、コスト最適化に寄与することができます。ほかにも、請求代行、当社への問い合わせ窓口への導線などの機能も有しています。

CMPはセキュリティ強化にも数年前から注力しており、AWS事業本部では2018年からセキュリティに関する定例会を開催してきました。前職でセキュリティ関連企業に勤めていた梶浩幸がコンサルティング部に在籍していたこともあり、彼の知見をクラスメソッドメンバーズのサービスに生かせないかということで、コンサルティング部も参加し、定例会は2週間に1回の頻度で開催されました。定例会では、クラウドセキュリティをメインに、広くWebセキュリティ全般について議論しています。

「CMPはお客様に安全を提供しなければならないサービスですので、セキュリティをきちんと担保し、お客様にもご安心いただけるようアピールできる状態にしたいと意見が出ました。定例会の中でも第三者機関による評価は有効だろうという結論になり、脆弱性診断のサービスを導入することになったのです」(古澤)

明朗な料金設定とホワイトハッカーの手動診断が採用の決め手

脆弱性診断の導入にあたり、半年間にわたってさまざまな企業のサービスを検討しました。最終的に採用したのは、GMOサイバーセキュリティbyイエラエの脆弱性診断です。

このサービスは、攻撃者の観点からセキュリティチェックができ、診断メニューも「NFT・ブロックチェーン脆弱性診断」「クラウド診断」「デスクトップアプリ診断」「Webアプリケーション診断」「スマホアプリ脆弱性診断」「プラットフォーム診断」「AIセキュリティ診断」まで幅広く取り揃えています。

導入の決め手には2つの理由がありました。1つはわかりやすい料金設定です。システムの診断箇所を事前に見積もることは一般的に難しく、見積料金の詳細を明らかにできないことも珍しくありません。一方、このサービスでは、APIリクエスト数に応じて決定された明朗な料金設定になっています。無駄のない従量課金制でコストパフォーマンスが高かったことが決め手の一つになりました。

2つ目は、世界トップレベルのホワイトハッカーによる手動診断が行われる点です。自動診断にはない「安心感があります」と古澤。攻撃手法に関する豊富な知識と最先端の技術を持つホワイトハッカーが仮想敵となり、セキュリティ上の問題の可視化と課題解決を支援してもらえることに魅力を感じたと言います。

クラスメソッド株式会社 「これからセキュリティ対策に注力しようと考えているIT企業にとっては、入門編として活用してみるのもいいと思います。エンジニアは集中してコードを書きたいという方が多いと思います。ただ、セキュリティツールの中にはかなりの頻度でアラートが飛んでくるものもあるので、そのたびに集中力が削がれ、モチベーションの低下につながってしまうかもしれません。それに、セキュリティに対してネガティブなイメージを持ってしまい、通知をオフにされてしまうと元も子もないでしょう。そんな中、脆弱性診断は開発者体験を維持したままセキュリティ対策を行えますので、特にアプリケーション開発者にとっても負担が少なく、今すぐ始められるセキュリティソリューションだと感じています」(古澤)

診断レポートで対応すべき箇所の優先順位が一目で

当社は、GMOサイバーセキュリティbyイエラエの「脆弱性診断」をセキュリティの健康診断と称して、毎年行うようにしています。CMPはこれまでも大規模な機能追加・改修を行っており、年度によって管理画面、認証認可基盤など、アップデート箇所は異なります。そのため、それぞれの年の診断範囲も異なり、よりセキュアなサイト環境になるように心がけてきました。

このサービスでは、診断後に詳細な報告レポートが送られ、オプションにはなりますが報告会も開催されます。報告レポートでは、診断を行った箇所が一覧で記載され、その箇所ごとに脆弱性のレベルが「緊急・高・中・低・情報」で表示されます。対応すべき箇所の優先順位が一目でわかることで、リスク対応が効率的になったと古澤は言います。

クラスメソッド株式会社
「エンジニアと一口に言っても、フロントエンド、バックエンド、アプリ開発、インフラなどさまざまな職種がありますし、それぞれバックグラウンドや考え方は全く異なります。確かに、さまざまな観点から対策を検討した方が、より有効な多層防御につながることでしょう。ただし、必ずしも全員の意見が一致するわけではありません。その点、このレポートを見ると対応するべき優先順位が一目で分かり、すぐに取り掛かることができます。開発スピードが求められる我々のチームにマッチしていると感じました」(古澤)

もしリスクレベルが緊急のものが検出された場合は、レポート作成を待たずに診断期間中に即座に通知をもらえます。また、GMOサイバーセキュリティbyイエラエはレポートを作成する際に、単純にリスクがある箇所の優先順位を決めているわけではなく、その企業のサービス特性も考慮した采配を行っています。

「例えば、クレジットカードを扱うようなシステムと、ブログサービスでは同じ脆弱性であったとしても、攻撃されたときに被害が大きくなりそうな緊急性の高さを鑑みてリスクレベルを検討いただいています。この場合だと当然クレジットカードを扱うシステムではリスクレベルは高くなりますね。このあたりの議論を、診断後の報告会で聞くことができ、非常に参考になりました。レポートは修正対応完了後に事業本部内で共有し、他チームとも情報共有しています」(古澤)

診断後の報告会では、実際に脆弱性診断を行ったホワイトハッカーらが参加し、診断内容やその対処方法についてディスカッションが行われます。毎回、当社からはフロントエンド、バックエンドに携わるメンバーや他部署のメンバーまで参加して、熱心に聞いています。

さらに、このサービスには「再診断」というオプションもあります。実際に指摘された脆弱性を修正した後に、その箇所をもう一度診断できるため、徹底的に脆弱性がある箇所をなくし、堅牢なセキュア環境を作ることが可能です。

今後は新規プロダクトのリリース前には必ず脆弱性診断を行う

今後は、年に1回の診断だけでなく、新規のプロダクトについてはリリース前に必ず「脆弱性診断」を実施するようにしていく考えです。

また、GMOサイバーセキュリティbyイエラエのサービスに「ペネトレーションテスト」というものがあります。これは、ホワイトハッカーが攻撃者と同じ視点でシステムへの侵入テスト(模擬攻撃)をするサービスです。より強固で高度なセキュリティ環境を構築するため、このサービスの導入も現在検討しています。

クラスメソッドでは組織のセキュリティガバナンスを強化しており、全体ガイドラインを作成中です。その中で、新規プロダクトをリリースする前には必ず「脆弱性診断」を行うということを明記する予定で、会社全体でセキュリティを強化する動きが加速して参ります。

この事例でご紹介した脆弱性診断サービスについて

GMOサイバーセキュリティ by イエラエの脆弱性診断は技術力のあるホワイトハッカーによるきめ細やかで高度な診断(ツール+手動)を提供します。AWSをはじめとするパブリッククラウドを対象とした診断のほか、コンテナやサーバーレス、Salesforceの診断といった多彩なプランを提供しています。

GMOサイバーセキュリティ脆弱性診断
脆弱性診断

お客様のご要望にこたえるユースケースや支援方法をご提案します。
まずはクラスメソッドへお気軽にご相談ください。

お問い合わせ

似ている事例

すべての事例へ
セガサミーグループ全体のセキュリティガイドライン作成、クラウドネイティブ時代の仕組みづくりを支援
セガサミーホールディングス株式会社 セガサミーグループ全体のセキュリティガイドライン作成、クラウドネイティブ時代の仕組みづくりを支援
AWSゲーム・エンタメセキュリティ対策支援クラスメソッドメンバーズ
世界のITインフラのAWS移行における 技術提供、セキュリティ強化、コスト最適化の包括的支援
サントリーシステムテクノロジー株式会社 世界のITインフラのAWS移行における 技術提供、セキュリティ強化、コスト最適化の包括的支援
AWS食品・飲食AWSコンサルティングAWS技術アドバイザーセキュリティ対策支援クラスメソッドメンバーズ
「水曜どうでしょう」新作配信でのCloudflare選択。決め手は最小限のコストと手間で最大限の効果への期待
北海道テレビ放送株式会社(HTB) 「水曜どうでしょう」新作配信でのCloudflare選択。決め手は最小限のコストと手間で最大限の効果への期待
SaaS広告・メディアコンテンツ負荷対策Cloudflare
自治体向けビジネスチャットをAWSに移行 Terraformでのコード化でインフラ構築の再現性を確保
シフトプラス株式会社 自治体向けビジネスチャットをAWSに移行 Terraformでのコード化でインフラ構築の再現性を確保
AWSIT・インターネットAWSコンサルティングAWS移行AWSインフラ構築クラスメソッドメンバーズ
AWS Well-Architectedを用いたアセスメントを実施 マルチテナントSaaSを安定稼働に向けた改善へ
bravesoft株式会社 AWS Well-Architectedを用いたアセスメントを実施 マルチテナントSaaSを安定稼働に向けた改善へ
AWSIT・インターネットコスト削減AWSコンサルティングクラスメソッドメンバーズ
オンプレミスのECサイトをAWSへ移行。社内での運用体制も確立
株式会社LIGUNA オンプレミスのECサイトをAWSへ移行。社内での運用体制も確立
AWSIT・インターネット小売AWSコンサルティングAWS移行
お問い合わせ
不明点はなんでもご相談ください
0120-991-668 平日9:30〜18:30 お問い合わせ