見出し画像

アプリケーション脆弱性診断ツール導入に向けて検討したこと

株式会社キャリタス_IT戦略統括本部

皆様こんにちは、株式会社キャリタスPMO課です。

PMO課の役割については下記をご参照ください。

今回はPMO課として取り組んでいる「品質管理」の「脆弱性対策」に焦点を当てての執筆となります。


脆弱性対策を推進する背景

当社が提供しているサービスの性質上、毎年数十万人の個人情報を登録いただいています。そしてそのサービスを安心して利用いただくためには、登録いただいた個人情報を適切かつ安全に取り扱う取り組みが必須と考えています。
そのための取り組みの一つとして、脆弱性対策の推進に力を入れるようにしています。

過去記事にて掲載しています通り、開発の内製化ではアジャイル開発を採用したことにより、迅速で柔軟な開発を進められるようになりました。
その一方で脆弱性対策が疎かになっては意味がないため、脆弱性対策状況を評価する脆弱性診断は欠かせないものとなります。

しかしながら、脆弱性診断を外部発注するためには開発日程と対象機能のFIXが必要となることから、脆弱性診断の実施をアジャイル開発にフィットさせることが困難なものとなっています。

「迅速で柔軟な開発を進めたい」「脆弱性診断を実施して安心できるサービスを提供したい」このギャップを解消するため、脆弱性診断も内製化した方がいいという判断を行いました。
そしてそれを実現するために脆弱性診断ツール導入を推進することとなりました。

ツール選定の流れ

数ある脆弱性診断ツールの中から1つに絞り込むまでの流れを説明します。

1.世の中に提供されているツールの情報を収集し評価項目を作成

検索すれば簡単に存在するツールを知ることができます。
しかし闇雲に問い合わせを行っても採用候補を絞り込むことはできないため、評価項目を作成します。

評価項目は主に費用や運用を想定した情報を整理して作成しました。
具体的には下記のようなものになります。

  • 年間費用(仮で10ドメインを設定)

  • 導入形式(クラウド型/オンプレ型)

  • 検査シナリオ作成方法(導入後の運用を想定)

  • 検査対象(Web画面/API/スマホアプリ)

  • 機能のアップグレード頻度及び追加費用の有無

2.評価項目をもとにした一次選考(問い合わせ要否判断)

評価項目に対して「重み付け」という名の点数配分を行った後、製品サイトに記載されている情報を元に採点を実施します。

「カタログ」のスコアが低かったとしても、「取得率」が高い場合はこちらの要求事項を満たしている可能性が高いという評価になります。

一次選考は想像によるものが多くなるため厳密な評価は避け、下記を基準に問い合わせる製品を選定することとしました。

  • 取得率が高かった製品

  • 製品サイトを閲覧した際に直感的に気になった製品

3.問い合わせ及び二次選考(PoC実施要否判断)

一次選考で「問い合わせ:要」と評価した製品に対して問い合わせを実施しました。
打ち合わせを希望されたベンダー様には評価項目をベースに作成したヒアリングシートを送付して事前に確認したい事項を共有するようにしました。

打ち合わせではヒアリングシートをもとにした説明と製品デモを実施いただき、打ち合わせ後に一次評価の「要問合せ」がゼロになったことを確認します。

こうして一通りの説明いただいた後、改めて下記観点で評価を行いPoCを実施するツールの絞り込みを行いました。

  • 要求仕様をどの程度満たしているか

  • 将来的な年間費用はどの程度になるか

4.PoCの実施と最終選考(採用ツール決定)

PoCでもこれまでと同様に評価項目を作成しての検証を行います。

正直なところ、PoC開始時点で製品仕様や費用感はかなり明確になっているため7割方採用は決定している状況となります。
しかし、ここまでに取得した情報は「ベンダーから与えられた情報」であるため、積極的にツールを操作することで情報を取得し、導入後に認識齟齬が発生することがないように運用イメージを固める事も目的となっています。

また、最終的なツール利用者は開発部門を想定しているため、「ツールの操作性」も検証のポイントとしています。
「脆弱性診断ツールによる診断作業」はこれまで実施していない作業になりますので、単純に業務量の追加となります。それによる作業負荷をなるべく抑えられるよう、下記観点での検証も行いました。

  • 直感的な操作で正しく検査を行うことができるか。

  • ツール実行によるサーバーへの影響は軽微であるか。(開発作業と診断実施を並行して運用することが可能であるか)

こうして製品情報の取得に始まり、ヒアリング、PoCを経て導入するツールが決定となりました。

終わりに

キャリタスではこれまで以上に新しい事へチャレンジしていきます。
チャレンジの結果がどうなるかはその時にならなければわかりませんが、「最低限これだけは守っていれば大丈夫」という仕組みを構築することで、安心してチャレンジできる基盤を構築するのがPMO課の役割となります。

PMOだけでなくエンジニアとしてもこういった転換点に携われることはなかなかないことです。今いる人たちがルールを作っています、この変化のタイミングに立ち会ってみたいと思いませんか?

今後も我々の活動内容についてこのブログで共有していければと思っておりますので、是非また読んでいただければ嬉しいです。

最後までお読みいただきありがとうございました。

我々は新卒、中途採用を実施しています。ご興味のある方は下記リンクよりご応募お願いします!


いいなと思ったら応援しよう!