ヤマハ株式会社様
グループ内で運営する多数のサイトをAppScanで検索
Webサイトのセキュリティ向上で
ヤマハブランドの要である“信頼感”を守る
eヤマハ室
室長
長谷川 豊 氏
eヤマハ室
QCSプロジェクト主任
小林 香史 氏
eヤマハ室
QCSプロジェクト技師補
熊谷 智之 氏
eヤマハ室
システムグループ
浜 将彦 氏
インフラ、Webサイト、業務プロセス
会社レベルでのセキュリティ強化の取り組みを推進
2007年で創業120周年を迎え、今や世界的な音・音楽の総合ブランドに成長したヤマハグループ。楽器やAV機器など「音・音楽」関連分野はもちろん、半導体、リビングなど多岐にわたる分野でグローバルに事業を展開しています。同社のインターネット関連の全社横断的な組織がeヤマハ室です。室長の長谷川氏はこう語ります。
「当社では2001年にTRUSTe認証を取得するなど、早くからセキュリティの重要性を認識してきました。しかしここ数年、Webサイトの脆弱性が明らかになっています。また、当社では多数のサイトを開発・運営しており、担当部署も様々ですが、そのすべての部門が同レベルのセキュリティ意識を持っていたとは言えませんでした。そこで2006 年、全社レベルでWebサイトのセキュリティを強化する活動をスタート。全社共通のセキュリティ管理ルールを定めるとともに、eヤマハ室内に専任チームを作り、社内の普及啓蒙から部門バックアップ、そして実際の検査までWebサイトに関するセキュリティ管理全般を担当することになりました」
"AppScanは基本的にどのようなサイトでも脆弱性検査を行えます。
当社は多数のサイトを運営し、それらを効率的に検査しなければならないので、このメリットは重要でした。 — 浜 将彦 氏"
様々な診断ツールの機能を比較
サイトを選ばず脆弱性検査が行えるAppScanを選定
顧客データベースや楽曲データベースの構築、楽譜データ販売のようなコマースサイトや、eラーニングなどサービスサイトの開発・運営など、多岐にわたる業務を担当するなかで、eヤマハ室に新たに与えられた役割が、全社で優に100以上は存在するWebサイトのセキュリティ強化。そこで課題となったのは検査業務でした。それまでは開発を担当する各部門の自主的・自発的な検査に頼っていた状況で、これらを引き受けるとなると、手作業ではリソースが足りません。そこで、脆弱性診断サービスの利用や評価ツールの導入を検討していました。
「全サイトでコンサルティングを受けるとなるとコストが膨大になります。また、自分たちで診断しなければ社内にノウハウが蓄積されず、セキュリティレベルの底上げにならないと 考えました」(長谷川氏)
そこでツールの導入に的を絞り、フリーソフトも含めた多くの製品を、機能、コスト、実績など様々な面から検討した結果、最終的に選ばれたのはAppScanでした。
「脆弱性のあるコードをわざと仕込んだサイトを検査させてみたりもしましたが、検知できないツールがあるなかで、AppScanの機能は満足できるものでした」とシステムグループの浜氏。
2007年に入ってから実際にAppScanを導入し、試験運用を開始。「使い方を習得するのに若干の慣れが必要でしたが、サポートの方の丁寧な指導で解決できました。習得してしまえば、基本的にどのようなサイトでも自分で検査できます。当社のように多数のサイトを運営している場合、このメリットは大きいです」(浜氏)
また、QCSプロジェクト主任の小林氏はAppScanのメリットを次のように語ります。「AppScanのレポートでは発見された脆弱性に重大度が割り当てられて表示されます。大きな問題が起こっているということを開発担当者にはっきりと認識してもらうことができます」
AppScanを組み入れた開発ルールを徹底
開発者のセキュアコーディング意識を高めるメリットも
検査のフローを本格導入する際には、啓蒙活動やルールづくりを行いました。
「説明会などを開き、まずWebサイトの脆弱性に関する開発者のリテラシーを高める活動からスタートしました。問題が起こってからでは遅いということを理解してもらい、検査への協力を要請しました」とeヤマハ室の熊谷氏。その後どのレベルまで検査するのか、出てきた脆弱性に対してどこまで部門に修正を求めるのか、ルールを詰めていきました。
そして2007年6月から、AppScanを利用した検査体制をスタート。現在、Webサイトの公開時には、必ずeヤマハ室で検査と承認を得るのが業務フローとなっています。
現在は導入してまだ3カ月、徐々に使い方を習得している段階です。例えば、独自にカスタマイズしたテンプレートを1つ用意し、これをほとんどのサイトに当てはめて検査するなど、検査業務を効率化する工夫も行っています。
「導入当初は、テストの結果により大幅な修正を要求することもあったため、開発者からは嫌がられることもありました。しかし現在では、開発者自らがセキュアなコーディングを心がけるように変わってきているのを感じます」(熊谷氏)
AppScanの導入が全社的なセキュリティ意識の向上に貢献しているようです。最後に長谷川氏が今後の展望を語ってくれました。
「大事なお子様をお預かりするヤマハ音楽教室に代表されるように、ヤマハの事業は“信頼・安心”が前提にあります。裏を返せば、その信頼感が崩れた時のダメージは図りしれません。AppScan導入で、Webサイトセキュリティに関して一定の信頼感を維持する仕組みが構築できました。しかし、これで万全とは思っていません。システムの内容も技術者の意識や技術レベルも、継続的に高めていかなければならないと考えています」
関連ソリューション
関連サービス/製品
企業情報
| ヤマハ株式会社 | |
|---|---|
 |
http://www.yamaha.co.jp/ 2007年で創業120周年を迎え、世界的な音・音楽の総合ブランドに成長。楽器やAV機器など「音・音楽」関連分野はもちろん、半導体、リビングなど多岐にわたる分野でグローバルに事業を展開している。 |
【この事例に関するお問い合わせ】
ネットワークセキュリティ事業部
ネットワークインテグレーション営業部インターネットセキュリティ営業課
TEL 03-5792-8616
E-MAIL: watchfire@techmatrix.co.jp