株式会社クローバー・ネットワーク・コム様
※ 掲載している部署名・お役職名は、取材当時のものです
※ 掲載している部署名・お役職名は、取材当時のものです
各種与信信用情報を企業に提供しているクローバー・ネットワーク・コム様。信用情報を扱う会社としての信頼性向上のため、同社はいち早くプライバシーマークの認定を受けていたが、更新申請時にサーバとWebアプリケーションの脆弱性の把握についての課題が浮上。そこで導入したのが、アイティーエムが提供する脆弱性診断サービス『SiteScan2.0』と『WebSiteScan』だった。はたして、これらのサービスを選んだ理由は何だったのか。同社の取り組みを追ってみた。
クローバー・ネットワーク・コムは1990年、金融系ソフト開発を中心とする情報処理会社として設立された。現在は事業を発展させ、各種与信情報の提供を中心にさまざまなサービスを展開している。
同社の強みは、企業のみならず、個人の与信情報を取り扱っている点だ。個人の与信情報といえばクレジットカードの利用状況等の情報が思い浮かぶが、同社は独自に開発した発信システム『Doc Bell』を使い、総務省で使用許可されている3億5000万件すべての電話番号(固定電話と携帯電話)の使用状況を着信することなく調査し、与信情報として企業に提供している。ちなみに電話番号の使用状況情報は、取引申込書など各種申込の不正申込やなりすまし詐欺などを防ぐ目的で利用されるケースが多く、金融機関だけでなく、会員制サービスを実施している企業にも広く利用されている。
信用情報というデリケートな情報を取り扱う同社にとって、自社のセキュリティ体制の強化は避けて通れないテーマの一つだ。そこで2007年9月にサーバの脆弱性を診断する『SiteScan2.0』と、Webアプリケーションの脆弱性を診断する『WebSiteScan』を導入。継続的にリスクを把握して、迅速な対応ができる体制を整えた。
そもそものきっかけは、個人情報保護に関するセキュリティ認証であるプライバシーマークの取得だった。セキュリティ体制の整備のため、同社は2005年4月にプライバシーマークの認定を受けている。実は厳密にいうと同社が取り扱う情報は公開情報が中心であり、プライバシーマークが対象とする個人情報には当たらない。にもかかわらず、セキュリティ認証の取得に動いたのはなぜなのか。データベースソリューション部部長の横山秀人氏は、次のように明かす。
「たとえオープンな情報でも、不正な手段で情報が外部に漏えいしてしまうと、信用情報を扱う企業としてのイメージは地に堕ちてしまいます。それによって損なわれる企業ブランドの失墜は、損害賠償などの金銭的負担より、むしろ深刻。もちろん以前から信用情報については細心の注意を払って運用していましたが、万が一にも漏えいが起こらないように、いま一度、情報の管理体制を見直すべきだと考えました」
情報管理体制を整備した結果、プライバシーマークはスムーズに認定が下りた。実際に情報漏えいのトラブルが起きたこともない。ただ、懸念事項はあった。それがシステムの脆弱性の把握だ。」
「システムの脆弱性については、サーバに対して自社でポートスキャンを行ったり、アプリケーション開発時にはテストを行うなど、できる範囲で脆弱性の把握に努めていました。ただ、開発後にミドルウェアやOSの脆弱性が見つかることもあり、必ずしもすべての脆弱性を把握して対応できているとはいえませんでした」その課題は、プライバシーマークの更新時にも指摘された。そこで同社は、さらなるセキュリティの強化を決断。アイティーエムが提供する脆弱性診断サービス導入の検討を始めた。
脆弱性の把握については、引き続き自社で行うか、外部のサービスを導入するかという二つの選択肢が あった。同社が選んだのは、外部のサービスだ。その理由を横山氏はこう語る。
「自社で行う場合、現状の人員ではとても無理。ただ、新たに専任スタッフを置くと多大なコストがかかる し、仮に専任スタッフを一人置いても、脆弱性についての情報収集に限界があることが問題でした。また、ある程度の範囲で情報を収集できたとしても、視点が一つしかないと、脆弱性のリスク度合いを客観的に判断できない。リスクを的確に判断して対応するには、ノウハウを持った第三者の視点を取り入れることが重要でした」
「そこで脆弱性診断サービスについての情報収集を開始。メディアに掲載されていたアイティーエムの記事を見つけ、情報をダウンロードしたところ、担当営業からのアプローチがあった。その後、他社のサービスも検討したが、最終的にはアイティーエムをパートナーに選んだ。
選定の理由の一つは継続性だ。詳細な診断をしてくれる他社のサービスもあったが、スポットのサービスで継続性がなかったのだ。スポットの診断でも、実施時の脆弱性は把握できる。ただ、サイバー攻撃は日々進化しており、一過性の診断では「今日は安全だったが明日はわからない」という状況が生まれてしまう。その点、『SiteScan2.0』はサーバの脆弱性を継続的に診断できるため、リスクが不明という空白の期間が生じない。
コストの問題も大きかった。スポットのサービスも、頻繁に実施すればリスク不明の期間を短くすることができる。しかし、「他社のスポットの費用は、アイティーエムさんのサービスの年間契約費用とほぼ同じ。仮に毎月スポットで診断をしたら、年間で12倍もコストが違ってくる。サービスレベルが違うとしても、費用対効果を考えると、とてもスポットの診断は選べなかった」と横山氏は明かす。
ただ、すぐにアイティーエムのサービスを導入したわけではなかった。当時は、OSやミドルウェアといったサーバの脆弱性を診断する『SiteScan2.0』のみの提供だったからだ。
「心配だったのは、クロスサイトスクリプティングなど、自分たちが作ったWebアプリケーションに存在しうる脆弱性でした。OSにある脆弱性は、OSの開発メーカーさんが情報を公開しているので、ある程度は把握と対策ができます。しかし、自社で開発した部分はどうなのか。当然、ひと通りの試験は行っていましたが、開発スタッフもアタックの方法についての知識がなければ、それについてのテストを実施することができません。そういう意味で、OS・ミドルウェア層だけでなく、Webアプリケーションも検査してくれるサービスが弊社には必要でした」
その点がネックで導入に二の足を踏んでいたが、2007年秋にアイティーエムからWebアプリケーションの脆弱性を診断する『WebSiteScan』のリリースが決定。サーバとWebアプリケーションを含めて、Webシステム全般を診断できるサービスメニューが整ったことで、導入に踏み切った。
導入後の最初の診断では、思わぬ結果が出た。Webアプリケーションを検査したところ、「レポート数枚分程度は見つかるかもしれないと想像していたが、実際はレポートが数十ページに及んで驚いた」(横山氏)というレベルで脆弱性が発覚。重大なものはなかったが、現在、早急に対応すべく開発スタッフと打ち合わせを重ねているという。
一方、サーバで見つかった脆弱性はゼロ。同社には、社内で利用するサーバと、サービス提供用で外部からアクセスができるサーバの2種類がある。特に外部に公開しているサーバはリスクの把握が難しく、何らかの脆弱性があることが懸念されたが、今回の診断によってファイアーウォールのガードがきちんと効いていたことが判明。これまでのセキュリティ運用方針が間違っていなかったことが裏付けられた。
いずれにしても、第三者の目による客観的な脆弱性の把握ができるようになったことは大きく、これでプライバシーマークの更新で指摘された点もクリアできた。
「実はプライバシーマーク更新の審査では、脆弱性の把握の結果の文書化も求められていました。自社で行った場合、文書化する作業がかなりの負担になることが予想されましたが、『SiteScan2.0』と『WebSiteScan』なら、診断後すぐにログイン画面からPDF形式でダウンロードが出来る詳細なレポート をもらえるので、文書化する手間がかからない。これも見逃せない効果ですね」
今回の導入により、指摘事項の対応も完了。現在は更新の申請中で、間もなく認定が下りる見通しだ。脆弱性診断サービスでパートナーに選んだアイティーエムとは、今後も関係を深めていくつもりだと横山氏は言う。
「社内で対応できる部分は社内でやるのが理想だが、今後、事業が拡大していくにつれて、今回のように社内だけでは対応しきれないケースが出てくるはず。そのとき相談できるパートナーとして、情報セキュリティ事業を盤としたアイティーエムさんとは引き続きお付き合いをしていきたいですね」
お客さまのネットワーク/サーバー、Webアプリケーションの脆弱性を洗い出し、攻撃者からの悪意のある攻撃や情報漏えい事故などのリスクを未然に回避するためのセキュリティ診断サービスです。他社が設計・構築したシステムでも診断可能ですので、システムの懸念点を抱えているお客さまに広くご提供可能です。お客さまが抱えている課題に合わせて、 SiteScan2.0、WebSiteScan、WebSiteScanProの3つのシリーズよりお選びいただけます。