この導入事例のポイント
- 年一回程度実施する既存の脆弱性診断ではセキュリティ担保をするのが難しくなっていた
- 使い勝手が良く、継続的な運用が可能だと判断し、同社の脆弱性診断検査ツールを導入
- 開発パートナーと連携し、リリース前の段階で問題を特定し修正する仕組みを整えられた
- 顧客に対して開発時のセキュリティ検査工程や体制などが明確に説明できるようになった
- 開発に携わるエンジニアのセキュリティ意識やリテラシーを向上させることができた
この導入事例のポイント
- 外部委託の検査はコスト負担が重く、その結果も実施者のスキルに大きく依存していた
- 検査の取捨選択、自由度が高いレポートとCIツールとの連携を提供するVexを採用
- 検査精度の高さと自由度の高いレポート機能により、セキュリティ検査の内製化を実現
- 組織全体でセキュリティに対する意識が高まり、積極的に情報収集を行う組織体へと変化
- インドネシア社会全体の、セキュリティレベルの底上げに貢献することを目指したい
製品を導入することになった背景
グローバルITサービスプロバイダーとして、インドネシアで活動するPT. NTT DATA Indonesia(NTTデータインドネシア)は、多数の企業に提供している社員福利厚生のクラウドサービスを担当しています。特に「HR-Zero」という人事給与情報管理システムの開発では、高い機密性が求められる情報を扱うため、セキュリティレベルを一段引き上げる必要があると感じました。Vexを導入する前は、セキュリティ検査が必要な場合、日本国内のグループ企業の診断サービスやインドネシア国内の第三者の診断サービスを利用していましたが、コストやスキルの依存という課題がありました。導入前に企業が抱えていた課題
NTTデータインドネシアは、日系グローバル企業現地法人を中心に、多くの企業にクラウドサービスを提供していました。特に「HR-Zero」という人事給与情報管理システムでは、高い機密性が求められる情報を扱っていました。しかし、セキュリティ検査を行う際のコスト負担や、診断結果の質が実施者のスキルに依存するという課題がありました。また、無償診断ツールを使用する試みもありましたが、期待通りの成果を得ることができませんでした。導入前の課題に対する解決策
セキュリティの課題に対処するため、NTTデータインドネシアはVexというWebアプリケーション脆弱性検査ツールを導入することを決定しました。Vexは日本のベンダーが開発したツールで、日本国内でのトップシェアを誇っています。Vexは自由度の高いレポート提供や、JenkinsといったCIツールとの連携が可能であり、これらの特徴が導入の決め手となりました。特に、Vexの自動巡回機能や、特定の検査パターンの選択機能は非常に便利であると感じました。製品の導入により改善した業務
Vexの導入により、NTTデータインドネシアはセキュリティ意識の向上を実感しました。当初は特定のビジネスユニットのセキュリティ向上を目的としていましたが、組織全体のセキュリティ意識が高まりました。これにより、開発工程を経ても高いセキュリティレベルが担保されるようになりました。また、Vexのサポート体制も評価されており、セキュリティ専門家からのアドバイスが得られることが大きなメリットとなっています。
この導入事例のポイント
- セキュリティ対策が人に依存しており、担当者によって検査の品質にばらつきが
- 容易な環境構築で、システム開発の標準プロセスに脆弱性検査を組み込めるVexを採用
- 脆弱性検査がツールにより標準化され、開発案件のセキュリティ品質が統一された
- メンバー全員のセキュリティリスクに対する知識が深まり、リスクを考えた設計が可能に
- システム開発の自動化・高速化、セキュリティ確保の両立を実現し、さらなる品質向上へ
製品を導入することになった背景
TISインテックグループのクオリカは、製造業や流通・サービス業のお客様に各種ITサービスを提供しています。MA第二事業部は、主要なお客様専属の部署として活動し、多くの個人情報をデータベースに持っています。このような背景から、インターネットに公開されているシステムに対して高いセキュリティ対策が必要とされていました。導入前に企業が抱えていた課題
当初、マニュアルによるWebアプリケーションの脆弱性管理を行っていましたが、担当者によって検査の品質にばらつきが生じる問題がありました。人に依存したセキュリティ対策は均質化が難しく、対応にばらつきが生じてしまうという課題が存在していました。導入前の課題に対する解決策
システム開発のプロセスに標準化されたツールでの脆弱性検査フェーズを組み込むことを決定しました。脆弱性検査ツールの導入を検討し、複数のツールの中から「Vex」を選定しました。Vexの選定理由としては、環境構築の容易さや使い勝手の良さが挙げられます。製品の導入により改善した業務
Vexの導入により、システム開発の標準プロセスに脆弱性検査フェーズを組み込むことができました。開発者自身がVexを使用して脆弱性検査を行い、セキュリティ品質の向上と統一が実現されました。また、プロジェクトメンバー全員のセキュリティリスクに対する知識が深まり、開発の手法も大きく変わりました。
この導入事例のポイント
- システムのセキュリティ対策は現場に任されており、統一して使用するツールもなかった
- 国内シェア1位の実績、教育メニューの充実などから脆弱性管理ができるVexを導入
- 現場社員のセキュリティ意識が向上し、セキュアな設計・プログラミング品質が向上
- 単体テスト漏れのバグをリリース前に発見 システム開発の品質向上にも貢献
- 診断できる脆弱性が多いのがVex シナリオ作成の自動化など、更なる機能拡充を期待
製品を導入することになった背景
都築電気は、ICTサービス企業として2万社を超えるお客様と取引実績を持つ企業です。近年、不正アクセスやサイバー攻撃の増加に伴い、セキュリティ対策の重要性を強く感じていました。しかし、安心・安全なシステム導入は現場任せの状態でした。このような背景から、お客様の安心・安全を守るため、システムの開発・構築におけるセキュリティ確保と有事の際の迅速な対応を目的として「都築CSIRT」を設置することとなりました。導入前に企業が抱えていた課題
都築電気は、多くのお客様と取引をしているICTサービス企業でありながら、セキュリティ対策は現場任せの状態でした。不正アクセスやサイバー攻撃の脅威が増える中、安心・安全なシステム導入の必要性を感じていたものの、具体的な対策や体制が整っていなかったのです。導入前の課題に対する解決策
セキュリティの確保と有事の際の迅速な対応を目的として「都築CSIRT」を設置することとなりました。この都築CSIRTは、セキュリティインシデントの早期解決を目指して活動しています。また、脆弱性管理として、リリース前のアプリケーション診断を自社で実施するための診断ツールとして「Vex」を導入することとなりました。Vexは、NRIセキュアテクノロジーズから紹介され、国内シェア1位の実績や教育メニューの充実、国産ならではの安心感を持つレポートや保守サポートが選定の理由となりました。製品の導入により改善した業務
Vexの導入により、都築電気ではシステム開発時のセキュリティ品質が向上しました。具体的には、設計工程から開発標準指図書に基づいて開発が進められるようになり、Vex診断の結果を開発者に直接共有する仕組みが運用されるようになりました。これにより、現場のセキュリティ意識が向上し、セキュアな設計・プログラミングの品質も向上しました。さらに、Vexはセキュリティ品質だけでなく、システム開発全体の品質向上にも貢献しています。
この導入事例のポイント
- 各プロジェクトでセキュリティレベルがばらつき、外部委託のコストや技術面でも不安
- レポート機能、UIのわかりやすさ、脆弱性へのサポートが決め手となりVexを導入
- 適切なコストとスキルで脆弱性検査を実施 義務化したことでシステム開発の品質が向上
- 脆弱性検査をルール化 全社レベルでのセキュリティ向上とお客様への提案力強化を実現
- 高品質なレポートで、開発者の技術力向上や得意先提出レポート作成の工数削減にも貢献
