<導入事例>
脆弱性診断ツール「Securify」の導入前後の支援で、
公共性の高いクラウド型監視サービスのセキュリティ向上に貢献
日本ソフト開発株式会社 様
- セキュリティ・ゼロトラスト
- サービス業
- セキュリティ、BCP対策
- テーマ
-
高頻度のシステム変更に適した脆弱性診断でセキュリティを向上、システム開発を支援
- 期間
-
2024年3月稼働
- 概要
-
IoTクラウド型監視サービス「SOFINET CLOUD」(以下:SOFINET CLOUD)は、毎年数十もの機能強化を実施しているため、プログラム更新頻度が高く、セキュリティ脆弱性の担保が難しい状況であった。プログラム更新の都度、実行できる脆弱性診断ツールを求めていた背景から、セキュリティ対策に豊富な知見を持つ三菱総研DCSを選定。DCSはお客様に適したプランの選定およびトライアルから導入までを支援。
- POINT 01
-
「何度でも手軽に脆弱性診断をしたい」というニーズに応えるプランの選定をご支援
- POINT 02
-
お客様に寄り添い、トライアルから導入までのステップを手厚くフォロー
- POINT 03
-
脆弱性診断だけでなく、総合的なセキュリティ対策の支援にも期待
システム開発の草分け的存在。環境IoTに貢献するクラウド型プラットフォームを構築
野原様:
当社は、まだコンピュータ黎明期といわれる1970(昭和45)年、滋賀県に創設された「滋賀コンピュータ学院」から始まっています。コンピュータの専門学校を設立して人材育成を手掛けた創業者が、地方活性化を思いに、育成した卒業生の受け皿として、1972(昭和47)年に日本ソフト開発株式会社を立ち上げました。以来、半世紀以上もの間、ソフト開発およびSIerとしてこの地で営業してきました。現在はICT、DX、「Society 5.0(※注)」の時代に生まれるさまざまな社会課題を解決すべく、創造的なサービスの開発、向上に努めています。
(※注Society 5.0:内閣府の定義によれば、サイバー空間と現実空間を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会を指す新しい社会モデル。AIを含むICTを活用し、経済的豊かさと社会的課題の解決を両立させることを目指す)
三方よしの近江商人の精神で、地域密着のコア事業を大切にしつつ、「環境、教育、健康」分野におけるクラウド型サービスを全国に展開しています。特に、保育業務ICTサービスは、全国47都道府県で数千園の導入実績があります。環境IoTの責任者としてIoTクラウド型サービス部門を統括する私のミッションは、特に水環境分野の社会インフラ施設にかかわるSOFINET CLOUDを、お客様に安心してご利用頂けるよう、パートナー企業とともに全国規模で展開させること。このミッションのもと、更に可用性、満足度の高いサービスへ進化させるため、日々強化改善活動を進めています。
奥村様:
私は環境IoTの開発グループ長として、主にSOFINET CLOUDの機能強化、改善などIoTプラットフォームの開発を担当しています。生活の営みに欠かせない上下水道施設や災害の多い国内において雨水排水などの防災対策施設のIoTは、絶対に稼働を止めることができないシステムです。お客様に安心してSOFINET CLOUDを利用していただくため、安定運用のための課題解決に取り組んでいます。
高頻度で行われる機能強化。プログラム更新のたびに脆弱性診断を行いたい
野原様:
当社では、品質マネジメントシステム(QMS:ISO9001)や情報セキュリティマネジメントシステム(ISMS:ISO/IEC27001)の監査を通じて、「セキュリティ対策についてもっと積極的に取り組むべきだ」と、会社全体でセキュリティ強化の機運が高まりました。特にSOFINET CLOUDは、公共性の高いサービスです。お客様より、脆弱性診断によるエビデンスの提供の要請が多くなっています。マルウェアによる被害が急増している昨今、社会インフラ施設の重要な管理ツールを提供する企業として可用性強化の使命感から、プログラムの更新の都度、脆弱性診断を行う必要があると感じていました。
奥村様:
当初は、人の手による脆弱性診断を行っていました。しかし労力とコストが想定以上で、年に一度実施するのが精一杯、予算内でできる診断範囲も限られていました。SOFINET CLOUDは、常に開発を続けているため、細かな機能更新を頻繁に行います。その都度、脆弱性がないか確認すべきとの思いから、何度でも手軽に診断できるツールを探し始めました。
決め手はトライアル。事前に使い勝手を確認し、さまざまな懸念を払拭
奥村様:
人の手による年に一度の脆弱性診断は2022年を最後にし、2023年からはツールに切り替えようと調べ始め、最終的に候補を3社の製品に絞り込みました。スリーシェイク社のSecurifyは候補の一つであり、三菱総研DCS(以下、DCS)から提案いただいたトライアルが決め手になりました。「SOFINET CLOUDのさまざまな機能との相性は?」、「自動診断が可能か?」など、実際に触ってみないと判断できないからです。Securifyは、事前に使い勝手を確認することができたので、懸念を払拭できました。また、他社製品は脆弱性を判断する際にシナリオ(細かな条件設定)が必要でしたが、Securifyはシナリオ不要で自動診断が可能でした。検討を重ねた結果、当社が重視する「診断のしやすさ」「設定条件の容易さ」「コスト面」「サポート体制」の点から、Securifyが最も私たちの希望にかなうことを確認し、2024年2月に導入。3月から使い始めました。
稼働してから約3カ月の間に、すでに5~6回の脆弱性診断をしています。脆弱性を発見して、すぐに打ち手を講じたケースもあります。万が一のリスクや脅威が実際にあったわけで、これが年に一度の診断のまま、悪しくも万が一のタイミングで攻撃を受けていたら、大変なことでした。自分たちで確認し、すぐに対応し、未然に脅威を防げたことは大きな成果です。コストも納得いくものですし、脆弱性を心配することなく、安心して本来の業務に集中できるメリットは大きいと感じます。
野原様:
コスト的には当社が吸収するもので、お客様に新たな負担を求めるものではありません。当社が提供するサービスの品質が高くなれば、その結果、事業継続の観点からもお客様に高い価値を提供できます。お客様に評価いただき次のビジネスにつながれば、投資メリットは高いと考えています。過日、「ASPIC IoT・AI・クラウドアワード2022(※注2)」において、総務省から最優秀賞である「総務大臣賞」をいただきました。国の評価でもある大変ありがたいアワードでの受賞で、身が引き締まります。この受賞を励みに、サービスの質をより高めて、課題感を持つ全国の自治体の課題解決に寄与できるよう努めます。
※注2:ASPIC IoT・AI・クラウドアワードは、日本国内で優秀かつ社会に有益なIoT・AI・クラウドサービスを表彰し、事業者およびユーザの事業拡大、業務効率化等を支援します。これによってクラウドサービスの利用促進と市場創造により社会情報基盤を確立することを目的としています。(一般社団法人日本クラウド産業協会サイト )
セキュリティ対策のプロ集団にトータルで相談できる安心感
野原様:
セキュリティ分野の知見で定評のあるDCSの支援のもと、Securifyを導入してよかったと思っています。セキュリティ全般についての相談ができるので、とても安心できます。実際に、トライアルの時点で専門性の高いサポートや利用プランの段階的な変更の提案など、当社がかなえたい状況に導く伴走をいただき、正式導入の後押しとなったことは間違いありません。現在、社内ではDX技術本部が立ち上がり、社内の技術力の標準化を目指しているところです。保育系や栄養系などのWebサービスの開発チームでも脆弱性診断ツールを活用するべく、横展開を図っています。
奥村様:
とにかく、サポートが手厚いです。トライアル中も、技術的な面での懸念や不安を相談すると、DCSはスリーシェイク社も含めての技術的なミーティングをすぐさま何度もセッティングしてくれました。SOFINET CLOUDのさまざまな機能に対して実際に自動的に診断、検証できるかを、トライアルの段階で幅広く試して動作確認ができました。ツールを入れるだけならツールベンダーに直接話をすればいい、と思いがちですが、提案やアドバイスはあくまでもそのツールに限定されます。DCSは、脆弱性診断においてツールはもちろん、さまざまなバリエーションで必要に応じた対策を提案してくれました。セキュリティ全般についてトータルで相談でき、脅威に対するベネトレーションテストなど、もう一歩踏み込んだ対策についても相談しているところです。
対策に100%はないが、DCSの力を借りて可能な限りセキュリティを強化する
奥村様:
Securifyの導入で、昨年は一歩「守り」を固めることができました。私のミッションとして、クライアントに「脆弱性に対応している」と自信をもって言えるよう、もう一歩前進させたいと考えています。公共性の高いインフラを担う仕事は、いつも臨戦態勢。常に緊張を強いられています。そんな中で、セキュリティ対策のプロとの関係性が強固であることは、何にも代えがたい心強さがあります。これほど気軽に何でも相談してしまっていいのかと思いながら、大変頼りにしています。
野原様:
当社では、省庁が提示するガイドラインに従い、万全なセキュリティ対策を講じたいと考えています。残念ながらセキュリティ対策に100%はありません。ただ、有事に備えて我々ができること、すべきこと、お客様に理解を得る活動も含めて、未知の脅威を相手に今できうる限りの対策を強化していきたいと考えています。
脆弱性診断の社内における横展開をはじめ、ベネトレーション対策など、まだまだ講じていくべき対策があります。セキュリティ対策は安心、安全の第一歩。一社でできることは限られています。SaaSに限らず、総合的にセキュリティ分野に強いDCSのサービスや知見をお借りして、当社が目指す中長期目標に向かって具体的な対策を進めていきますので、引き続きよろしくお願いします。
企業プロフィール
日本ソフト開発株式会社 様
滋賀県米原市に本社を置く日本ソフト開発は、1972(昭和47)年創業、半世紀以上の歴史を重ねるシステムインテグレーターの草分け的存在。さまざまな課題を解決するためのソフトウエア提供をはじめ、開発から導入、サポートまで一貫したソリューションを展開する。近年はクラウドサービスにも力を入れており、事業エリアは日本全国へと拡大。地域に根差しながら、グローバル水準の経営を展開する”グローカル"企業の体現者であり続けたいと考えている。
導入サービス
関連するソリューション・サービス
資料ダウンロード
-
お問い合わせ
-
導入のご相談やご不明点など、お気軽にお問い合わせください。
- Securifyは、株式会社スリーシェイクの登録商標です。