開発チーム主導のセキュリティ運用をShisho Cloudで実現!

ツール導入前の課題

Webアプリケーション脆弱性診断を年1回の頻度で定期的に行っていましたが、手動による診断を外部業者に都度委託していたため、時間も費用もかかる運用になっていました。 その結果、既存プロダクトの機能追加・修正時に、オンデマンドで脆弱性診断を実施したいという現場ニーズに十分応えられていませんでした。

どのような状態を目指していたか

• 年単位の定期的な診断ではなく、より短い周期でシステムによって自動で脆弱性診断が実行される状態
• 機能開発のサイクルの中に脆弱性診断を組み込むことで、Shift-left な開発プロセスを実現できている状態
• 自動診断により人的依存を減らし、セキュリティリスクの可観測性が高まっている状態
• プロダクトチームがセキュリティ品質を主導できている状態

• Securify

• コスト(価格)と導入の容易さ
• 誤検知の少なさ(精度)
• ダッシュボード・診断レポートの分かり易さ
• 認可診断や多様な診断項目
• エンジニアフレンドリーな使用感・操作性

• 弊社サービスがマルチテナントSaaSモデルのため認可診断ができる点
• 診断Endpointの追加が手軽にできる点
• ダッシュボードが見やすく、診断結果の内容やレビューが詳細に確認できる点
• プロダクトFBを上げた際に、迅速に連絡いただき機能追加、修正対応を行なっていただいた点
• 追加の契約ではあるが、AIエージェントによるソースコードベースのホワイトボックス診断が可能な点

解決された課題・得られた成果

導入が済んでいる一部のプロダクトでは、日次で脆弱性診断と認可診断が実行されており、検知された脆弱性や認可バイパスについてトリアージを行い、解消まで対応できています。その運用サイクルを継続的に回せている点も、大きな成果だと感じています。 さらに、新規に追加される機能についても定期的に Endpoint 登録を行うことで、新機能に対しても同様の診断を実施できています。

社内のほぼすべてのプロダクトに導入を進めていますが、同時期に OSS のライブラリ／ライセンスについて、脆弱性情報の収集・トリアージ・管理を行う仕組みの導入も並行して進めていました。 そのため、Shisho Cloudを用いたシステムによる自動の脆弱性診断については一部のプロダクトのみが先行して導入・運用している状況となっています。 また、開発チームにはプロダクト開発に加えてこれらのセキュリティ対策も実施してもらう必要があり、キャッチアップや学習コストの確保が今後の課題です。

使いこなすには少し学習コストが必要なため、セキュリティ対策チームで主導するか、各開発チームごとに導入をリードできる担当者を立てて進めるとスムーズに導入が進むと思います。 一度導入できれば、自動で定期的にスキャンされSeverityに応じたリスクが診断レポートとして確認できるので、レポートラインや経営層への説明にも役立てるため、機能開発等で忙しい開発組織にマッチするツールだと思います。

全ての公開プロダクトに対して定期的なシステムによる自動脆弱性診断が行われており、また開発サイクルの中に組み込むことでセキュアな開発プロセスの実現とセキュリティの継続的な改善を行える環境を作っていきたいです。 あわせて、プロダクトチーム自らがセキュリティ品質を語り・改善していける「セキュリティ文化」を社内に根付かせていくことも目指しています。