Comments
Description
Transcript
柔軟な脆弱性診断サービスとサポートで スピーディで安全な Web
柔軟な脆弱性診断サービスとサポートで スピーディで安全な Web サービスの展開を実現 インテリジェンスの求人サイトの脆弱性診断を 1 ページの改修から柔軟に対応することで 個人情報を守り、セキュリティ意識の向上も図る カスタマー・プロファイル 企業名: 株式会社インテリジェンス 業 種: 人材サービス 所在国: 日本 従業員数: 5,432 名 Web サイト: http://www.inte.co.jp/ 課題 インテリジェンスでは、頻繁にリリース/改修さ れる Web サイトの脆弱性診断を確実に行うた めの仕組みを導入し、制作現場のセキュリティ意 識を高め、安全かつスピーディな開発プロセスを 整備する必要があった。 ソリューション 品質の高い技術的セキュリティアセスメントを実 行するデルの Dell SecureWorks を採用す ることにより、セキュリティを担保。包括契約によ るチケット制を適用することで、発注・検収・支払 などの業務負荷を低減し、Web サイトのリリー ススケジュールを遅らせることがない脆弱性診 断を実現。インテリジェンス、制作会社、デルの 3 社で情報を共有し、デルへの相談も行えること で、現場のセキュリティ意識を高め、将来的なセ キュアコーディングガイドの作成も目指す。 導入効果 • 包括的なチケット制によって 20% の診断コ スト削減 • 発注・検収・支払などの煩雑な業務負荷が ゼロに 「脆弱性診断は、サービスをリリースする直前に行う最後の砦 です。Dell SecureWorks は、リーズナブルな価格で診断 結果が出るスピードが早く、リリース日を死守してビジネスの スピードを落とさない点が評価できます」 株式会社インテリジェンス BI 本部 本部長 大友 潤 氏 • Dell SecureWorks のグローバルで統一・ 洗練された手法により、デリバリ品質を維持 しつつ、スピーディなサービス提供を実現 • 専属コンサルタントとともに診断体制を考え られるほか、柔軟な対応が可能 • TIMS によるナレッジマネジメントによる 制作・開発プロセスの改善 ソリューションエリア • テクニカル・セキュリティ・アセスメント 株式会社インテリジェンス(以下、インテリジェンス)は、転職サービスの 「 DODA」、アルバイト・パートの求人情報サービスの「an」など、さま ざまな人材サービスを提供し、 「はたらくを楽しむ」社会を実現すること を使命としている。その他、派遣やアウトソーシング、バイリンガル向け の「 Intelligence Global Search」、経営幹部・エグゼクティブ向けの 「インテリジェンス エグゼクティブサーチ」、アパレル業界向けの「クリー デンス」、経営顧問サービスの「i-common」、女性向けの「salida」な どのさまざまな個人・法人向け人材サービスを拡充し続け、2013 年 4 「単 なる診 断 だけ で なく、 担当者に相談でき、ノウハ ウを蓄 積して将 来 的な制 作・開発プロセスを改善す るためのパートナーとして、 デ ル は支 援してくれて い ます。報告書も修正しなけ ればならないポイントがわ かりやすく、勉強会なども 行ってくれます」 株式会社インテリジェンス BI 本部 黒仁田 栄子 氏 月にはテンプグループの一員となっている。 競争の激しい人材サービスの中で、事業成 の追加をスピーディに行うことで、ユーザービ 長を支えるための IT に有効に投資してシステ リティとサービス品質を向上させる体制となっ ムを構築するため、インテリジェンスでは、業 ているのだ。そのため、1 ページから大規模案 務、知識、人の 3 つの軸を IT と融合させること 件まで、毎月多数の脆弱性診断を行う必要があ を考えている。同社の IT を統括する部署であ り、BI 本部では、通常の業務をこなしながら多 る BI( Business Innovation )本部に、事業 くの事業部門からの要請を請けて脆弱性診断 部門と IT 部門を融合させる BITA( Business の発注や見積対応などを行うことで業務運用 IT Architect )を組織し、ビジネスの視点から 負荷が大きくなるという課題があった。 実業務を細分化して可視化し、管理・運用・業務 また、脆弱性診断に手間がかかるためにリリー 改善を行えるように組織改革が行われている。 スが遅れてしまったり、現場の判断でリリース また、多くの個人情報を扱う同社では、情報漏 を優先させて、脆弱性診断を後回しにするケー えいは事業を揺るがす致命的なリスクである スが出てきたことも問題であった。Web の制 ため、外部に向けた Web サービスのセキュリ 作や開発のプロセスに自動的に組み込まれる ティをどのように担保するかが非常に大きな課 形でスムーズに脆弱性診断が行え、脆弱性が 題となっていた。 検知されないような開発ノウハウを蓄積して、 セキュリティ診断の業務運用負荷を低減して うな体制が求められていたのである。 今後の制作・開発プロセスを改善していけるよ 制作・開発プロセスを改善 Web をプラットフォームとして多くの 人 材 サービスを展開し、機微情報も含めて個人情報 柔軟な対応ときめ細やかな報告が期待できる SecureWorks を採用 を多数保有しているインテリジェンスでは、情 インテリジェンスでは、毎年の契約更新時期 報セキュリティをいかに担保するかが非常に大 にセキュリティ診断サービスを見直してきた。 きな課題だ。2009 年頃から Web サイトの改 前述のような課題があった同社では、2014 年 修やリリースの前にセキュリティ診断を行うこ 6 月の契約更新時期に向けて、単なる診断だけ とが重要だという方針を決めた同社だが、さま でなく、業務負荷の低減や開発プロセスの改 ざまなサービスを使う中で、サイトやサービス 善、セキュリティ意識の向上を実現するソリュー の開発から診断、リリースまでの過程に課題を ションを探し始める。 「検索などで診断サービ 感じていたという。 「我々のサービス自体が IT スを探し出し、さまざまな会社と話しましたが、 によって成り立っているため、IT は事業の成長 柔軟な対応をしてくれるサービスはなかなか見 を阻むものであってはならず、機密性、完全性、 可用性を当然のように備えてなければなりま せん。事業を展開するための IT に転換してい かなければならない一方、情報漏えいなどに対 するリスクマネジメントも行う必要があり、利便 性とのバランスを考える必要があります」と BI 本部 本部長の大友 潤 氏は話す。 インテリジェンスでは、30 以上の Web サイ トを運営しており、新規サービスのリリースは もちろん、サイトの改修も頻繁に行われ、その たびにセキュリティ診断(脆弱性診断)を行うよ うにしていた。リニューアル時期を決めてサイ ト改修を行うのではなく、改善点や新たな機能 2 導入システム サービス Dell SecureWorks セキュリティ & リスク コンサルティング サービス Web アプリケーション脆弱性診断 ペネトレーションテスト モバイルアプリケーション脆弱性診断 つかりませんでした」と話す BI 本部の黒仁田 と Android の両方の診断が行えることもメリッ 栄子氏は、1 ページからであっても迅速かつ柔 トで、他のサービスでは iOS のみに対応とい 軟に対応してくれて、包括的な契約でコストメ う場合もあったという。 リットがあり、発注・検収・支払などの業務負荷 が軽減できるサービスを求めていたことを明 包括契約によるコスト削減と かす。 将来的なナレッジ蓄積によるプロセス改善 そ の 中 で 最 も 注 目 さ れ た の は、デ ル が 提 包括的な年間契約のチケット制を採用するこ 供 す る 情 報 セ キュリティ・サ ー ビ ス「 D e l l とで、1 ページのサイトであっても迅速に診断 ( 以下、SecureWorks )だ。 SecureWorks 」 SecureWorks は、グローバルで脅威を可視 ミットしてリリースの遅延なくサイト制作を行 化し、先進的なリサーチで新たな脅威をいち早 えることを高く評価している。これにより、BI く識別でき、脆弱性診断サービスにおいても、 本部は煩雑な発注作業などの業務負荷から解 が行え、1 ヶ月前の依頼であれば作業要員をコ デリバリ品質を維持しつつスピーディなサービ 放され、個別に依頼するよりも 20 %の診断コ ス提供が実現できることが大きな特長となって ストの削減ができているという。また、都度発 いる。 注する場合は発注作業などに加えて上長が予 ハードウェアの 調 達などで以 前からデルを 算承認などを行わなければならず、1 ヶ月以上 信 頼 できるパ ートナ ーと考えて いたインテリ かかってしまうが、チケットを使えば 1 週 間 程 ジェンスでは、デルが SecureWorks のサー 度で診断を開始できる。 「脆弱性診断は、サー ビスを提供し始めたことを知って興味を持ち、 ビスをリリースする直前に行う最後の砦です。 一 度 外 部 IP ペネトレーションテストの 実 施を SecureWorks は、リーズナブルな価格で診 依 頼したことが あった。このときの 診 断 結 果 断結果が出るスピードが早く、リリース日を死 の 報 告 書 が 非 常 にわ かりや す かったことも、 守してビジネスのスピードを落とさない点が評 SecureWorks を採用した決め手の 1 つだっ た。 「 SecureWorks の報告書は、修正しなけ 価できます」と大友氏は話す。 ればならないポイントがわかりやすく、そのま 以降、現場のセキュリティ意識が高まり、診断の 「 2014 年 6 月の SecureWorks 利用開始 ま制作会社に見せればすぐに修正を行えまし 必要性が定着してきていることを感じています」 た。脆弱性だけを指摘されても、専門的な知識 と話す黒仁田氏は、デルが単なるセキュリティ がない担当者は的確な指示を制作会社に指示 診断を行うベンダーではなく、相談できて一緒 することができず、修正に時間がかかってしま にセキュリティを考えられるパートナーだと感 います。このような報告書を出してくれるサー じている。BI 本部と開発側、デルで Excel ファ ビスなら安心と感じました」と黒仁田氏は話す。 イルを共有し、月例ミーティングで翌月に診断 SecureWorks によるセキュリティ診断で しなければならない予定を確認して事前準備 は、Web アプリケーション脆弱性診断、外部 を行うことで、現場もセキュリティ診断が行わ IP ペネトレーションテスト、iOS/Android ア プリケーション診断、外部接続 API 診断などが れることを理解してきているという。また、脆弱 行われる。スマートフォン利用者の増加により、 本部長である大友氏が脆弱性診断の必要性を 性診断の結果を管理職に向けて発信したり、BI 当然のように Web サービスのモバイルサイト 発信することで、セキュリティ意識も高まってき 対応も行っているインテリジェンスでは、iOS ている。 継続的な支援によるシナジー創出 ビジネス上のベネフィット 弊社による 定期的な診断の実施 より安心・ 安全な サイト運営 発見リスクの減少 開発プロセス の改善 3 リスク事象 の発見 改善策の 実施 推奨改 善策の ご提言 ①包括契約のため、間接的な 運用コストが削減 ②開発プロセスの改善につながり、 着実な強化が可能 ③情報セキュリティに対する 開発要員の意識が向上 「月例ミーティングでデルの担当者に相談す ディングガイドを通じて制作・開発スキルを高 ることもでき、一緒に診断体制を考えてもらえ め、脆弱性診断でエラーが出ない安全なサイト るのは助かります。専門的な脆弱性の知見など をリリースする体制を整えていくことを考えて については、関連子会社の制作会社と直接やり いる。 「セキュリティマネジメントについては、 取りして改善してくれる点もいいですね。また、 テンプグループが優れているところも、インテ 共有している Excel ファイルで診断予定やチ リジェンスグル ープが 優 れて いるところもあ ケット残数をすぐに確認でき、管理しやすくなっ るはずな の で、これらを融 合させ て いく必 要 ています」と BI 本 部 の 瀬 野 ありさ氏は話す。 があります。診断サイクルについては、デルの ちょっとしたことでも相談でき、回答も迅速に SecureWorks の 優 位 性があると思うので、 もらえることにインテリジェンスは満足してい グループ全体に拡げていきたいですね」と大友 るという。 氏は話す。 半年ごとにサマリーレポートも報告され、同 インテリジェンスでは、2015 年 1 月 19 日に 時にセキュリティの勉強会が行われることで、 スキ ルや専 門 性だけではなく、やりが いや志 制 作・開 発プロセスの 改 善も行われていると 向性を大事にした仕事を提案する人材サービ いう。SecureWorks では、TIMS( Threat スとして「 meeta 」をリリースしている。また、 Intelligence Management System )に LINE と共同で会社を設立し、2015 年 2 月か よってナレッジマネジメント、定型または非定型 ら新たなアルバイト求人情報プラットフォーム データの関連性分析、情報共有とワークフロー、 として「 LINE バイト」も提供し始めた。 グローバルな脅威の影響範囲特定が行え、これ 「短期の社内業績にとらわれず、広く、深く、 らの情報を活用して制作や開発に反映させる 長くお客様とお付き合いすることが我々のモッ 体制が取られているのだ。デルの監修の元に、 トーです。求人に困ったときや、仕事に困った これらの情報を盛り込んだセキュアコーディン ときにインテリジェンスを選択していただける グガイドも作成されている。 ように、今 後も広くラインナップを充 実させ、 SecureWorks を ます」と話す大友氏。新サービスのリリースに 「月例ミーティングでデル の担当者に相談することも でき、一緒に診断体制を考 えてもらえるのは助かりま す。専門的な脆弱性の知見 などについては、関連子会 社の制作会社と直接やり取 りして改善してくれる点も いいですね」 株式会社インテリジェンス BI 本部 瀬野 ありさ 氏 サービス開発を今後も進めていく必要があり グループ全体に広げていく予定 伴うセキュリティの担保に対しても、デルはイン 今後、インテリジェンスでは、診断だけでなく テリジェンスを強力にバックアップし、安全性と コンサルティングまで行ってくれるパートナー 利便性を両立させた Web サービスの提供を としてデ ルに期 待し、勉 強 会やセキュアコー 支援していく。 株式会社インテリジェンス 株式会社インテリジェンス BI 本部 BI 本部 株式会社インテリジェンス BI 本部 本部長 黒仁田 栄子 氏 瀬野 ありさ 氏 大友 潤 氏 ユーザ導入事例ウェブサイトにて、他にも多くの事例をご覧いただけます。 www.dell.co.jp/casestudy June 2015. ©Dell Japan Inc. 4 ● Dell ロゴは、米国 Dell Inc. の商標または登録商標です。 ●その他の社名及び製品名は各社の商標または登録商標です。 ●取材 2015 年 1 月 10022204 デル株式会社 〒212-8589 川崎市幸区堀川町 580 番地 ソリッドスクエア東館 20F Tel. 044-542-4047 www.dell.co.jp