03-6416-1579

平日 10:00-18:00

SIDfm導入のきっかけをお聞かせください。

弊社は、主に運用を主体とした事業を展開しており、その中で脆弱性情報を収集して報告するという業務を行っています。親会社であるクロス・コミュニケーションで開発したアプリやシステムに関しても運用を行なっており、収集した脆弱性情報は、クロス・コミュニケーションに発信・報告、その後クライアント様と対応方法について打ち合わせを行っております。

クロス・コミュニケーションと連携して業務を行う中で、横断的に複数のアプリの脆弱性調査を行う必要に迫られたのですが、今までの運用経験より膨大な時間がかかることがわかっていました。そこで、情報の一括取得など、何か効率的にできる方法がないかと考えていた時に、SIDfmを知リました。

脆弱性情報収集とレポート作成に時間がかかり負担になっていた

SIDfm導入前に抱えていた課題をお聞かせください。

今までは個別にアプリやシステムの運用の対応をしていました。運用しているシステム・アプリ数は数多く、なかには開発後に年数が経過しているアプリやシステムもあります。バージョンアップ情報を含めてさまざまな情報が横断的に取得できれば良いと考えていましたがなかなか対応できていませんでした。

実際の業務としては、脆弱性情報の収集は複数パターンがあります。月に1回のものもあれば、週に1回のものと様々ですが、一回の脆弱性情報収集とレポート作成までにどうしても2~4時間かかっていました。メンバーは数人体制で行っていてマニュアルやフローも整備していましたが、ルーティーン業務として大きな負担がありました。

導入前に検証したことをお聞かせください。

導入前に他の製品の比較検討はしませんでしたが、テスト運用を重視しました。トライアル期間を1か月として、サイバーセキュリティクラウド社からフィルタの設定や脆弱性情報を取得できる製品の追加可否など詳細について教えていただきながら進めていきました。

トライアルで重視していたのはレポートの品質と、脆弱性情報を取得できる製品数です。フィルタの数には上限があるため、その上限のなかでどうやって運用していけばいいのか、どうするのが効率的かを検証しました。最終的に報告レポートとしては十分見合うものが作成できると確認できたため導入に至りました。

敢えてフィルタについて要望を挙げるとすると、登録できる製品数はもちろんもう少し細かく分けられればありがたいと感じています。例えば、OS・ミドル・データベース系など、ある程度アプリやシステムを大項目や中項目で区分したなかで設定できるとより効率的に運用できると思います。

今までの1件分の工数とほぼ同等の工数で複数の情報収集が実現

導入後の変化・効果は感じられていますか。

いまでは、複数のアプリの情報を収集する場合でも、1回5時間前後で対応できています。つまり、今まで1つのアプリやシステムの対応にかかっていた工数とほぼ同じぐらいの工数で複数の情報収集が実現できている状況です。対象が増えるとその効果は大きく、月10件のアプリが対象の場合、今までは1アプリ5時間×10件で月50時間かかっていたのが、月5時間に削減できるので10分の1の工数になるというわけです。大幅な工数削減につながっています。

また、フィルタ機能が便利だと実感しています。特にシステムバージョンが異なるケースの場合、システムを見ているときに、古いバージョンでは脆弱性のエラーが発生していて新しいバージョンでは発生してないということがあります。そのエラーの違いを確認するために、今までは目視で一つひとつ探していてとても大変な作業だったのです。この作業ひとつとっても、最初にフィルタを設定しておくだけで細かくみることができるので、とても助かっています。

また、脆弱性の情報に関して、英語の製品の場合は情報が日本語に翻訳されています。これも日本語で読むと理解が深まると感じています。

SIDfmの導入前後で担当メンバーは変わっていませんが、個別対応ではなく一括で情報収集が可能になりました。弊社で取り扱うアプリ・システムの多くを横断的に見られるなど運用範囲が拡張したため、本当に大きな導入メリットを感じています。

アプリやシステム開発・保守運用している会社には必要なツール

SIDfmはどういった企業におすすめできるかを教えていただけますか?

複数のアプリやシステム開発および保守運用されている会社であれば、必要なものだと思います。導入で得られるメリットは大変多いと思いますし、今まで保守運用にかかっていた工数やコストを削減して主力の業務に注力が可能です。

今後の運用として方針などがあればお聞かせください。

脆弱性の情報収集はSIDfmを使って業務改善ができていますが、実際には情報を周知した後に脆弱性に対応するためのバージョンアップが必要です。

現在は、弊社が報告までを行い、以後はクロス・コミュニケーション側で対応しているのですが、今後はバーション管理まで弊社でできるように体制を構築したいと考えています。

ありがとうございました。