「secuas(セキュアズ)を導入したことで脆弱性診断コストを抑えながらセキュリティレベルを高めることが出来ました。」
2022年4月よりsecuasをご利用頂いている株式会社nobitelのCTO 黒木様にセキュリティに対する考え方からsecuasの導入に至る経緯までをお伺いさせていただきました。株式会社nobitelは世界210店舗以上で独自技術「コアバランスストレッチ」を提供するストレッチ専門店「Dr.stretch」の運営をはじめ、ストレッチを通じてユーザーの健康習慣を促進するヘルスケア業界のリーディングカンパニーです。黒木様は2019年頃に株式会社nobitelにCTOとして参画し社内の新規事業やDX化の促進をミッションとされております。
目次
Q.secuas導入のきっかけを教えてください。
会社に入り内部を確認すると、非常に危機感を感じました。セキュリティに対しての考え、評価が無くて何がリスクかわからないという状態でしたね。社内では何がリスクか誰も明確に捉えきれてない状態だったので、まずそこを明らかにするためにもISMSの取得を目指すことにしました。
ISMSの取得を目指す中で脆弱性診断を実施してPDCAを回す状態を作ろうと思いました。
現代では、企業が漏えいをしてしまうと本来企業も被害者のはずが、お客様から見ると加害者に見えてしまう現状もあり企業としての在り方を問われる状況にあると認識しています。だからこそ、セキュリティの予算をしっかりと社内で確保してどのように対策していくかは非常に重要だと考えていました。
Q.社内のセキュリティに対する認識はどう変わりましたか?
業界のトップを走る企業はしっかりされている印象は持っています。特に外部資本が入っている企業であればセキュリティに対する感覚はかなり強い印象です。
ただ、業界全体の比率では10店舗未満の中小企業が多く、そういった企業ではセキュリティに対する認識が無いことや、ITに対してアレルギーみたいなものは存在しているのかなと思います。
セキュリティはレイヤーに分けると抑止、予防、検知、回復の四つがありますが、この考え自体や本質的な問題を業界的に理解できていない可能性が高いと思います。
例えば、ある店舗で働く従業員が独立する際にその店舗のお客様のリストをのれん分けみたいな感覚で持って行ってしまうのを会社が止めることが出来ていないみたいな話も聞きます。本来はこうした行為もお客様からすると問題であるはずですがこれを問題と捉えられていない企業も多いと聞きます。
この業界はセキュリティ観念に成熟した企業とそうではない企業の差が非常にはっきりしている業界ではないでしょうか。
Q.secuasのセキュリティ診断の導入は容易でしたか?
各プロダクトにおいて何をしないといけないのかを整理したうえでクオリティを取るべきかコストを取るべきかの判断が非常に難しかったですね。
セキュリティを対策する上でどこまでするのか、各サービスでやれることが異なるので自動診断で出来ることと手動診断で出来るのかの境目を分けるのが本当に難しかったですね。
Q.弊社をご選定いただけた理由を教えてください
一番はコストパフォーマンスですね。
secuasはOWASP基準の脆弱性診断を日次で実行してくれるサービスでコストが月1万円というコストパフォーマンスは非常に良かったです。
手動診断のサービスでもOWASP基準の診断は実施出来るのですがどうしてもコストが膨らむので全体を実施するにあたりコストが安いセキュリティ診断ツールの選択肢があったことは非常にありがたかったですね。
Q.今回の実施について懸念はございましたか
特にありませんでした。
本音をいうと、万が一ダメでも僕が誤れば終わるぐらいのコストですし、導入に際して内部コストがかかるわけでもないので懸念はありませんでした。
他のサービスでは発注のタイミングやその後の内部コストが見えないサービスも多く、上室だけで解決するのか各事業部のリソースも必要なのかが判断できないケースも大方です。
それに比べたらscuasは導入に対しても非常に簡単で、内部工数も見えやすかったのが導入させていただいた理由の一つにもなっていると思います。
Q.secuasを利用して”効果”はいかがでしたか
正直、事故が起こらないと実際の効果が言いづらいサービスであるので難しいのですが、サイトを診断頂き課題や対策もきちんと提示していただいているので現場のエンジニアのメンバーに細かな説明をする必要がないというのがありがたいです。
課題だけ渡してもなかなか対策が出来ないので、情シスがこのようなリスクがあるからこういう風に直してと指示をしないといけないのですが、secuasであればそれらの業務が省けるので非常に助かっています。
Q.さらなるセキュリティ対策を考えていますか?
secuasセキュリティ診断で評価が出た対策を、いかに迅速に計画を立てられるか、年間を通じて、対応ができるように計画を立てていきます。
Q.secuasをより使いやすくするためへのアドバイスをお願いします。
エンジニアが社内で共有するための詳細などがあればいいかもしれませんね。セキュリティ意識が低い会社でエンジニアが社内に共有する際、どのように共有すれば社内の上層部に響くか悩んでいると思うんです。それを代弁してくれるようなサービスにまでなれればもっとわかりやすいと思います。
この度はインタビューにご協力頂きまして誠に有難うございました。今後とも宜しくお願い申し上げます。