English

お問い合わせ

サイバートラスト 製品サービス 導入事例

「脆弱性診断サービス」により迅速な脆弱性対策を実現 - お客様が安心・安全に利用できるネットワークセキュリティ製品として信頼性を付加

事例企業: エイチ・シー・ネットワークス株式会社

業種:ソフトウェア・情報通信・IT   規模:50~300人

事例カテゴリ:ネットワークセキュリティサーバーセキュリティIoT/組込み開発

用途: 認証アプライアンス製品および脆弱性管理サービスのセキュリティ診断

採用製品: 脆弱性診断サービス 脆弱性診断サービス ウェブサイト

導入前の課題

導入前は自社で OSS ごとの脆弱性の確認を実施していたが、お客様が用意したツールでの実施や、第三者の専門ベンダーによる脆弱性診断の結果や影響の有無など、お客様から客観的な情報を求められるケースが増えてきていた。

セキュリティ対策については外部の専門的な知見が必要と考え、第三者的な脆弱性診断の実施を検討していた。

導入の目的・解決手段

フリーのツールや大手のサービス利用を検討した結果、自社での実施は内部工数が割かれ細かなチェックが難しいことから第三者の専門ベンダーでの実施が最適となった。中でも、サイバートラストは OS をはじめとするオープンソース製品で長年の取引実績があったことと、アプライアンス機の貸し出し受け入れなど柔軟な対応が可能でスムーズに実施できたことが採用の決め手となった。

診断では、改善すべき点が見つかった時点で内容を通知してもらえたため、素早く対応ができた。

導入効果

診断を実施した結果、大きな脆弱性の問題がないことが分かり安心できた。第三者の診断を受けたことで、お客様からのセキュリティに関する問い合わせに対しても安心して回答可能になった。また、診断結果からほかの自社製品でも見直しを行い、対策できていない箇所は診断結果を活用し同様の対策を実施できるようになった。

エイチ・シー・ネットワークス社が製品提供において重視している、「お客様が安全に安心して利用できること」を実現できた。

エイチ・シー・ネットワークス株式会社は、2016 年 12 月 1 日に日立グループより独立し、提案・構築・保守サービスまでトータルでネットワークソリューションを提供しています。このたびサイバートラストの「Web アプリケーション診断」および「ネットワーク診断」を実施した「Account@Adapter+」と「VI-Engine」について、Adapter 事業部 システム開発部 部長の中和田良平氏に紹介いただきました。

「認証・検疫・ログ管理・シングルサインオンなどの機能を備えた Adapter+ シリーズを 2008 年より提供しています。本シリーズの主力製品である「Account@Adapter+」は、アカウント管理、ネットワーク認証、証明書発行、IP アドレス払い出しなどをメインとした認証アプライアンス製品です。また、2020 年 7 月には、IT 資産管理者がクラウド上で簡単に脆弱性管理できるサブスクリプションサービス「VI-Engine」を提供開始しました。「VI-Engine」では、脆弱性情報の収集を自動化して危険度の高い脆弱性情報をランキング表示するなど情報を分かりやすく提供するサービスです。自社のIT資産の脆弱性管理をしたいけれど、膨大な情報の収集に時間がかかる、人手不足、収集した情報から重要な脆弱性や早急に対応が必要な脆弱性の優先順位を判断できないなど、お困りの問題を解決できる製品です。また、IT 資産情報と連携すると端末個々に対策が必要な脆弱性情報のレポートを出力する機能も実装しています」(中和田氏)。

OSS を利用する製品をお客様が安心・安全に利用できることを重視し、脆弱性診断を検討

エイチ・シー・ネットワークス社は「Account@Adapter+」の提供において、お客様に便利かつ安心してご利用いただけるネットワークセキュリティ製品として提供できることを重視しています。脆弱性診断の検討に至ったきっかけについて、Adapter 事業部 システム開発部 第ーグループの大森晃氏は次のように語ります。「プライベートネットワークでの利用だけでなく、ユーザーツールの機能で利用申請のために認証前に接続する場合があります。また昨今無線 LAN 接続での利用が一般的となっているために不特定多数の人がAccount@Adapter+ に接続する機会が出てきているため、ネットワーク診断の必要性を考えました」

「VI-Engine」を担当する Adapter 事業部 システム開発部 第二グループの高橋良至氏は、「VI-Engine はクラウド上でのサービス提供のため、サイトの安全性を確保し、お客様が安全に安心して利用できることを重視しています。当社ではクラウドを利用したサービス提供の実績が少なく、セキュリティ対策については外部の専門的な知見が必要と考えていました」と、なぜ脆弱性診断が必要だったか振り返ります。

脆弱性診断が必要と考えるタイミング・頻度について大森氏と高橋氏は以下のように語ります。「製品のバージョンアップで Web アプリケーションの構成が大きく変わる際に診断の実施が必要と考えています。メジャーバージョンアップの頻度は 5 年くらいが目安ですが、マイナーバージョンアップの際も、内容によって診断を受けています」(大森氏)。

「VI-Engineも同様で、初回リリース(ベータ版)の時に Web アプリケーション診断とネットワーク診断を実施しました。その後、機能追加や環境のバージョンアップも行うため、定期的な実施を検討しています。特にユーザーがクラウド上で操作するログイン画面の変更やページの新規追加などで大きな機能追加となる際は、Web アプリケーション診断が必要で、環境のバージョンアップにはネットワーク診断が必要と考えています」(高橋氏)。

エイチ・シー・ネットワークス社では、多くの製品にオープンソースソフトウェア(OSS)を活用しており、脆弱性について注意している点として次のように語ります。「製品内部にOSS を利用しているので、利用している OSS の脆弱性を把握することがまず重要です。早い段階で情報を入手してシステムの現状把握と対策を実施することが必要と考えています」(高橋氏)。

外部の専門的な知見を活用し、お客様へ客観的な情報提供を可能に

同社ではまず「Account@Adapter+」で診断サービスの導入を検討しました。「診断サービスの導入前は OSS ごとの脆弱性の確認を自前で実施していました。近年、お客様が用意したツールでの実施や、第三者の専門ベンダーによる脆弱性診断の結果や影響の有無など、お客様から客観的な情報を求められるケースが増えてきたことが課題になっていました。セキュリティ対策については外部の専門的な知見が必要と考え、第三者的な脆弱性診断の実施を検討しました。フリーのツールや大手のサービスも検討しましたが、最終的に自社での実施は時間的に厳しいと判断しました。診断サービスを選ぶ際に、当社が考えている脆弱性診断に適しているか、価格が見合うかと、サービスを提供している会社の信頼性をポイントとしていました。提供会社の信頼性については、サイバートラスト社にはこれまで OS や OSS で長年の取引やサポートの実績があり安心でした。価格についても柔軟な対応があり、採用を決めました」と、第三者による診断のニーズと専門ベンダーである当社を選定した理由を語りました(大森氏)。

「Account@Adapter+」での診断結果を見て「VI-Engine」でも採用したと高橋氏が言います。「Account@Adapter+の診断結果は、開発グループ内に展開されました。その情報を当社の各製品にも適用しているのですが、VI-Engine は 2020 年 7 月にリリースした新しい製品であり、個別に診断することにしました」。実際に Web アプリケーション診断で実施した診断内容は以下のものでした。「基本的な診断項目として、一般的なクロスサイトスクリプティング(XSS)や SQL インジェクションなどの画面の入出力処理と、ログイン関係の認証部分、認可・権限関係、セッション管理、また Web サーバーに設定するパラメーター、Ajax の脆弱性、そしてサイトの一般的な脆弱性について実施しました」(高橋氏)。

hcnet-figure02.jpg
VI-Engine 画面

日々脆弱性が発生する OSS に対して定期的な診断実施により安心・安全なシステムの提供を実現

脆弱性診断の実施後、大森氏は「大きな脆弱性の問題がないことが分かり安心できました。第三者の診断を受けたことで、セキュリティに関する問い合わせに対しても安心して回答可能になりました。診断結果からほかの自社製品でも見直しを行い、対策できていない箇所は診断結果を活用して同様の対策を実施しています」と、成果を語ります。また「Adapter+ はアプライアンス製品であるため、外部から接続できるところにアプライアンス製品を置いて診断するしかないと懸念していました。ところがアプライアンス機貸し出しの受け入れなど柔軟な対応によってスムーズに実施できたのが良かったです」と大森氏が診断実施当時を振り返ります。 高橋氏も同様に「VI-Engine はクラウド上に診断用の環境をつくってアクセスしてもらいました。スケジュールも希望に合わせて実施でき、スムーズな進行で予定通り完了できました。診断で見つかった時点で内容を通知してもらえたので、素早く対応できました」と評価します。

エイチ・シー・ネットワークス社では、定期的に脆弱性診断サービスの活用を検討しています。定期的な診断が必要な理由について、以下の考えを示しました。「基本的に製品に OSS を利用していますが、OSS では日々脆弱性が発見されているため、脆弱性の影響を知って、いち早い対策をすることが必要です。また、ネットワークにつながる製品サービスは継続的に診断を実施することが望ましいでしょう。対策にあたって第三者の診断できちんと対策ができているかを確認できることが重要と考えています。これは当社が安心・安全なシステムを提供するうえで必要です。社内での知識もつみあげていますが、専門的な知見を取り入れて当社製品の信頼性をより高めて提供したいです」(高橋氏)。

最後に、当社への期待や要望を語っていただきました。
「VI-Engine は、クラウドでサービス提供していることもあり、比較的頻繁にチェックが必要と考えているため、年間で実施できるサブスクリプション契約の診断メニューがあると助かります。また、診断結果から影響が考えられるサービスなどアドバイスがあるとよいですね。スポットでの依頼でなく、少し長いスパンで対応できるメニューを提供して欲しいです」(高橋氏)。 今回の脆弱性診断の成果を評価し、ほかの製品についても今後検討を行うとのこと。 「当社のほかの製品についても診断サービスを実施したいと考えています。柔軟に対応いただけると有難いです」という大森氏。
「サイバートラスト社とは、Adapter シリーズの提供開始から約 10 年の繋がりです。引き続き、OSS でも、脆弱性診断でも幅広く支援をお願いしたいです」と、中和田氏が締めくくりました。信頼できる第三者の脆弱性診断を行うことで自社製品の信頼性をさらに高め、同社が重視している、”お客様へ便利かつ安心してご利用いただけるネットワークセキュリティ製品の提供” を実現しています。

導入企業様のご紹介
エイチ・シー・ネットワークス株式会社

高い品質と信頼できるネットワークの提供を目指し、提案から構築・保守サービスまで、ネットワークのトータルソリューションとして、ネットワーク・セキュリティ関連製品をはじめ、テレビ会議・ビデオ会議システムなど幅広く展開しています。

https://www.hcnet.co.jp/
キーワード

ネットワーク診断, Web アプリケーション診断, アプライアンス, オープンソースソフトウェア

この事例の製品・サービスのウェブサイト

脆弱性診断サービス

この事例に関連のある他の事例

新型コロナ禍の中、恩納村のネットワークを東京からリモートで診断

恩納村商工会

テレワークで活用されるコワーキングスペース ― 利用者から要望されるのは情報セキュリティ

ホテルゆがふいんおきなわ

製薬業界向けクラウドサービスに対する総合的なセキュリティ向上施策を実施

プラネットファーマソリューションズ株式会社

事例一覧へ

すべての事例を参照

サイバートラストのテレワークソリューション
採用情報ページ リニューアル
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS