モデルケース
モデルケース <某製造業様>
某製造業様にて社内にセキュリティチェック体制を構築
開発コスト、期間全体の短縮に向けた取組みを支援
自社開発するアプリケーションのセキュリティコストが課題に
増え続けるセキュリティ上の脅威を前に、アプリケーションの脆弱性チェック、セキュリティ確保が命題となっています。こうした昨今の事情から、自社で業務アプリケーションを開発している某製造業様において、オリジナル開発されるアプリケーションの開発コスト上昇が課題となっていました。そこで、自社内でセキュリティチェックができる体制を作り、コスト削減と開発期間短縮の両方を目指すことになりました。
社内体制の構築でアプリケーション本数が多くなってもコストがかかりすぎない体制を目指す。
技術的指導だけではなく業務プロセス構築支援が必要
まず自社内でセキュリティチェックが出来る体制を整える為、ツールの検討から入りました。脆弱性ツール取扱い業者から説明を受け、どの業者からもツールを利用する事で脆弱性チェックが全て網羅されるとの話があり、ツールとそれを使いこなす為のトレーニングで十分と思っていました。
しかし、脆弱性診断サービスとツールを取り扱っているSCSKセキュリティから紹介を受けた時、ツールは脆弱性診断の約70%をカバーするのみで残り30%は手動で診断する必要がある事を知り、ツールでは全てを網羅しない事がわかりました。また自社内でセキュリティチェックが出来る体制を整える為には技術的なスキルの習得以外にもWebサイト開発者・管理者との調整、工数算出、報告書の作成等様々なスキルが必要である事もわかりました。
多くのツール取扱い業者はツールの操作方法をレクチャーするトレーニングを提供していますが、Webアプリケーション診断を業務として取り入れる視点に欠けていると思いました。そこで白羽の矢が立ったのが、SCSKセキュリティが提供する脆弱性診断体制構築でした。業務プロセス構築支援や、脆弱性チェック時に実際に脆弱性診断を行っているエンジニアに立ち会ってもらいながらOJTで学べるのがポイントとなりました。
実践ノウハウの提供、現場でのOJTの2段階で実施
まず行われたのは、脆弱性診断体制構築支援プログラムにもとづく脆弱性診断の実践ノウハウ提供です。実際に導入する脆弱性診断ツールを使い、脆弱性チェックのための技術的な手法をアプリケーション品質管理部門のエンジニア3名で参加し、習得しました。ツールの操作方法だけではなく、手作業で補うべきチェック項目についても学びました。また、スケジュール作成など業務面で必要な知識も、この段階で身につけました。
次に、オンサイト診断支援プログラムにもとづき、OJTを通じたスキルトランスファーが行われました。初回の脆弱性診断業務を行う際に、SCSKセキュリティのエンジニアがオンサイトで立ち会い、診断に関するノウハウを実践形式で習得しました。
コスト、開発期間の圧縮に成功! オンサイト支援サービスの効果も実感
自社内に脆弱性診断の体制を構築できたことで、開発に伴うセキュリティ維持コストは各段に低く抑えられるようになりました。以前であれば脆弱性診断を断念していた小規模なアプリケーションもチェックできるようになり、全体のセキュリティレベル向上にも貢献しています。また、脆弱性診断を外部に委託していた頃は、アプリケーション開発が終わるのを待って診断実施、結果が判明するまで待つ必要がありましたが、社内に体制を構築できたことで、開発しながら部分的に脆弱性診断に取り掛かれるようになり、アプリケーション開発期間も短縮されました。
初回診断時に行われたオンサイト支援により、事前に提供を受けた脆弱性診断ノウハウの理解が深まり、効果を実感しました。現在はオンサイト支援サービスを終え、脆弱性診断業務を自社内で行っており、脆弱性診断業務に関する不明点がある場合はSCSKセキュリティのセキュリティエンジニアが質問にお答えする問い合わせ支援サービスを利用し、日々脆弱性診断業務を行っております。
