製品を導入することになった背景

富士ソフト株式会社は、国内外で組込系システム開発や業務系システム開発、プロダクト事業などのビジネスを展開する独立系ICTソリューションベンダーとして知られています。同社の経営理念には「ひのき(品質・納期・機密保持)」という精神があり、特に「機密保持」は近年の情報漏洩事例の増加を受けて、重要なテーマとして位置づけられています。2013年頃、Webサイトの脆弱性による情報流出が増加したことから、富士ソフト株式会社は社内で脆弱性に関するセミナーを開始し、その対策の一環としてリリース前の脆弱性検査を推奨していました。

導入前に企業が抱えていた課題

富士ソフト株式会社は、脆弱性対策の一環としてリリース前の検査を推奨していましたが、その実施の要否やレベルは各プロジェクトに委ねられていました。このため、セキュリティレベルにばらつきが生じ、プロジェクトによってはコストや技術面での課題が発生していました。外部の脆弱性診断ベンダへの委託やプロジェクトメンバーによる内製での実施が主な手段であり、統一されたセキュリティ対策が取られていなかったのです。

導入前の課題に対する解決策

2017年のStrutsの脆弱性問題を受けて、富士ソフト株式会社は「セキュア開発の全社統一ルールの策定」を決定しました。脆弱性検査ツールの選定において、Vexを含む3つのツールを比較検証し、その結果、Vexを選択しました。Vexの選定の決め手として、日本語レポートとUIのわかりやすさが挙げられます。特に、Webアプリケーションの脆弱性に詳しくない技術者でも理解しやすい日本語レポートが出力される点や、高品質なレポートが提供される点が評価されました。

製品の導入により改善した業務

Vexの導入により、富士ソフト株式会社は適切なコストとスキルでの脆弱性検査が可能となり、システム開発の品質が向上しました。また、開発者のセキュア開発への意識も高まりました。Vexは具体的な脆弱性をスクリーンショットで示すことで、開発者が脆弱性について具体的に理解する手助けをしています。この結果、プロジェクト全体のセキュリティ意識が高まり、新たな提案や相談が増加するなど、セキュリティを含めた提案活動が活発化しました。