日商エレクトロニクス株式会社様
※ 取材当時の社名は「双日システムズ株式会社」。
2018年1月1日に日商エレクトロニクスに吸収合併されましたが本文中では、
取材当時の社名、御役職名のままで掲載させていただきます。
※ 取材当時の社名は「双日システムズ株式会社」。
2018年1月1日に日商エレクトロニクスに吸収合併されましたが本文中では、
取材当時の社名、御役職名のままで掲載させていただきます。
双日グループのIT戦略を支える双日システムズ株式会社様は、2年前に公式サイトをリニューアル。リリース時に脆弱性をチェックして以降、テストは実施していなかった。同社はグループ各社への横展開を視野に入れて、アイティーエムの脆弱性診断サービス『WebSiteScanPro』を採用。手始めに自社のサイトを診断したところ、想定外の診断結果が出たという。思ってもみなかった結果は、同社のリスク管理施策に何をもたらしたのか。その取り組みを探ってみた。
執行役員CIO
兼ICT&Pマネジメント室
室長 谷本伸 様
1985年に設立され、今年25周年を迎えた双日システムズ株式会社は、その名前からもわかるように、双日グループのIT戦略を担う双日の100% 子会社である。
商社系だけあって、一般的なSIerやNIerと違って業容は広い。例えば情報通信機器関連の三国間取引は、同社の主力事業として成長している。また最近では、屋外用・高所用の産業用LED照明を用いた環境ソリューション事業にも進出。まさに商社系らしい柔軟さで、ITの枠に留まらない事業を 展開中だ。
SI/NIと貿易に直接的な接点はないように思えるかも知れないが、執行役員CIO兼ICT&Pマネジメント室室長の谷本伸氏は具体的なシナジー効 果を次のように明かす。
「国際ビジネス事業のお客様から海外でのソフト、ソリューション、システム等のご相談や、逆にシステム関係でお付き合いのある国内のお客様から海外事業についてご相談を受けることがあります。貿易業務に精通しているSIerは珍しいのかもしれませんね。また技術の進化が激しいセキュリティ分野の製品では、海外で最新の技術を発掘し、国内のNIの技術者がその検証にあたるようなケースも多いです。いずれにしても弊社はグローバル展開が強み。中国・アジアを中心に、今後も積極的に展開していく予定です。」
写真左より
執行役員CIO
サステイナブルサービス部
兼ICT&Pマネジメント室
室長 谷本伸 様
ICT&Pマネジメント室
担当部長 山木英治 様
同社の中には、堅牢なデータセンターを擁し、親会社やグループ各社のシステムの構築・運用を行うICTアウトソーシング部という部署がある。そこから同社内の情報システム部門であるICT&Pマネジメント室に、「公式サイトの脆弱性診断をやってみないか」という一本の電話が入ったのは、2010年夏のことだった。谷本氏は、その経緯をこう振り返ってくれた。
「ICTアウトソーシング部から、アイティーエムさんの脆弱性診断サービス『WebSiteScanPro』を導入してみないかという提案がありました。実は同部は『WebSiteScanPro』をグループ向けに展開することを視野に入れていました。ただ、自社で導入して脆弱性診断を体験してみないことには、グループ各社へ提案しにくい。そこでまず弊社の公式サイトに白羽の矢が立ったというわけです。」
『WebSiteScanPro』は、Webアプリケーションの脆弱性診断サービスで、自動診断でカバーしきれないセッション管理系も含め、ソースコードレベルまでの診断を手動で行うサービスだ。この提案があったとき、谷本氏は即座にOKを出し、翌日には稟議も通ったという。
「もちろん真っ先に思い浮かんだのは、ICTアウトソーシング部のビジネスに貢献したいという思いでした。ただ、それと同時に浮かんでいたのは、『私たちが管理しているサイトに脆弱性なんて出るはずがないじゃないか』という自信でした。部内で『何も出なかったら、効果なしになってしまうな』なんて軽口を叩いていたくらいでしたから。」と、谷本氏は笑いながら語ってくれた。
自社のサイトは大丈夫に違いない――。
企業サイト管理者はそう思い込みがちだが、実際に診断をすると意外な脆弱性が見つかるケースが多い。はたして同社の場合はどうだったのか。
ICT&P 担当部長
山木英治 様
診断結果を明かす前に、双日システムズの公式サイトの概要を紹介しておこう。同社のサイトは、商品紹介やニュースリリース、会社概要などにほとんどのページを割いている。一般的に脆弱性が問題になるのはECサイトや何らかの理由で個人情報を収集しているサイト。同社のサイト内で該当するのはユーザーからのお問い合わせページのみで、ほぼ閲覧専用サイトといっていい。
「個人情報に神経を使わなければいけないサイトではなかったという油断があったのかもしれません」と語るのは、ICT&Pマネジメント室担当部長の山木英治氏だ。
「公式サイトを現在の形に整えたのは、いまから約2年前です。部内にWebを専門にやっている人材はいなかったので、制作は外注しました。納品時には、弊社で脆弱性のテストを実施。IPAのサイトでもアタック手法を調べ、SQLインジェクションなどのよく知られた脆弱性についてチェックを行い、その中でとくに問題は見られなかったのでリリース。不正アクセスのターゲットになりにくい閲覧専用サイトですから、それで十分だと考えていました。」
リリース後、これまでに不審なアクセスが何度か記録されていた。しかし、それらはすべて失敗に終わり、同社側でも把握できていた。それは脆弱性対策がうまく機能している証拠と言えなくもない。
脆弱性診断を行っていなかったのは2年間一度も改修を行っていなかったことが大きな理由であった。とくに変化のないものを、時間やコストをかけてテストする必要性は低いと判断していたのだ。
「ただ、不安はなかったのかといえばウソになります。初期テスト以降、不正アクセスの手段が巧妙化していることは知っていました。例えば多くの企業サイトに被害をもたらしたGumblarなんて、サイトのリニューアル時には存在していなかったですからね。そうしたニュースを聞くたび、再テストの必要性はひしひしと感じていた。その意味で、ICTアウトソーシング部からの提案は良いきっかけでした。」
脆弱性対策に自信はあるが、一抹の不安は残る。診断前のことを山木氏はこう語る。「脆弱性診断を始める前に、対象サイトの分析から始まり、テスト方針や内容までが事前に説明されていたため、安心してお願いをすることが出来ました。」
こうして、『WebSiteScanPro』による診断は行われた。気になる診断結果を、谷本氏が悔しさ混じりに明かしてくれた。
「結果は、7つも脆弱性が見つかってしまいました。どれもリスクとしては低レベルで、直ちに問題になるようなものではなかったのですが、『どうせ一つも見つからない』と考えていた私には衝撃的な結果でした。ICTアウトソーシング部から提案を受けておいて、本当に良かったです。」
同社は発見された脆弱性すべての対策をすでに実施している。山木氏は、「迅速に対応できたのは、アイティーエムさんから提出されたレポートの存在が大きかった」と語る。
「レポートは脆弱性を指摘するだけでなく、その対策についても詳細が書かれていました。単に脆弱性を 指摘されるだけでは途方に暮れてしまう管理者がいるかもしれませんが、やるべきことが明確に示されて いるので、ショックに打ちひしがれている暇もなかった。これは非常に親切だと感じました。」
更に、レポートに、テストの詳細が書かれていたことも高く評価しているという。
「脆弱性を修正したとしても、再検証しないと本当に修正できたのかは確認できません。アイティーエムさんの場合、レポートにテストのやり方が示されていたので、Webの知識がそれなりにあれば再検証も可能です。また、やり方が明示されているおかげで、診断対象外にした管理ページも後日、自分たちでチェックできた。予算が限られている管理者にとっては、これもありがたいでしょうね。」
今回の診断と対策によって、同社サイトに潜んでいた脆弱性は解決された。これだけでも診断した効果は大きいといえるが、谷本氏は、もう一つの重要な成果を明かしてくれた。
「実は今回見つかった脆弱性の中には、むしろ私たちが良かれと思ってやっていたものもありました。例えば開発者の間では、後でシステムを見る人のためにソースコードにコメントを残すという行為が広く行われています。しかし、今回の診断でコメントが不正アクセスのヒントになる可能性があることと指摘され、初めてそれを意識できた。このようにリスクに関する意識改革ができたことは、単に脆弱性を修正すること以上の意味があるはずです。」
この結果を受けて、同社の製品別・ブランド別サイトへの横展開も検討中だという。またグループ会社への展開も含めて、脆弱性が出た場合の対処を同社が請け負うことができるか、など協業体制も検討していく。同社のリスク対策や、アイティーエムとの協業が今後、どのように広がっていくのか。今後の展開にも注目していきたい。
お客さまのネットワーク/サーバー、Webアプリケーションの脆弱性を洗い出し、攻撃者からの悪意のある攻撃や情報漏えい事故などのリスクを未然に回避するためのセキュリティ診断サービスです。他社が設計・構築したシステムでも診断可能ですので、システムの懸念点を抱えているお客さまに広くご提供可能です。お客さまが抱えている課題に合わせて、 SiteScan2.0、WebSiteScan、WebSiteScanProの3つのシリーズよりお選びいただけます。