背景
ソニー・ミュージックエンタテインメント(SME)は、多角的なエンタテインメントビジネスを展開している。SMEを含むソニーミュージックグループは、ソニーグループ株式会社の直営子会社として傘下に約20社を擁し、独自の事業構造を有している。具体的には、音楽やアーティストに関連する事業、アニメやゲーム、キャラクターに関連する事業、ソリューション関連事業の3つのビジネスグループだ。
そして、グループのサイバーセキュリティを担うサイバーセキュリティ推進部において、サイバー攻撃対策、セキュリティインシデントの対応、ウェブサイトの脆弱性診断は「SIRT」が担当している。
ソニーミュージックグループでは、様々な部署、様々な職種の担当者がWebサイト(各キャンペーンサイトやコンテンツサイトなど)を制作している。SMEリスクマネジメントグループサイバーセキュリティ推進部 担当課長(セキュリティ担当)の田代雄亮氏は「ツール導入以前は、Webサイトのコンテンツごとに宣伝部やディレクターがWebサイト制作を外部に依頼し、リリース前に都度担当者より外部の診断業者に脆弱性診断を依頼していました」と話す。
外部の脆弱性診断の実施は費用がかさむだけでなく、スケジュール調整も必要であったため、社内で診断してほしいという要望が あった。さらに田代氏は「Webサイトのプラットフォームや制作者の知識、セキュリティ対策にはバラツキがあり、グループで最低限のセキュリティ対策を行わないとあらゆるところから攻撃されてしまう可能性がありました。グループでは約1,300のサイトがあり、すべての脆弱性を把握することは難しく、また、全社的に外部診断にかかる費用の把握も難しいといった実態があり、社内で脆弱性診断を実施できる体制を整えることが急務でした」と語った。
“サイト制作者のセキュリティスキルの底上げ”や“全社的な最低限のセキュリティ対策の実施”を目的に、公開前のWebサイト、Webアプリケーションの脆弱性検査を、サイバーセキュリティ推進部で内製化することが方針として決定したのだ。
…