対応のばらつきが出るなど脆弱性対応における属人化が課題だった
SIDfm VM for MSPを導入した背景と、導入前の課題を教えてください。
弊社の主力サービスであるサーバー監視保守運用サービスの「MSPアシスト」では、顧客企業のサーバーやネットワークをインフラ専門のエンジニアチームが24時間365日の体制で有人監視を行っており、その一環として脆弱性の情報を顧客企業にお知らせしていました。
脆弱性情報をお知らせするにあたり、これまでは社内のインフラエンジニアが手動で脆弱性情報の収集を行っていましたが、日々膨大な数の脆弱性情報が公開されるため、情報の収集に工数がかかり負担になっていました。また、保守対象のサーバーやネットワークに関連する脆弱性かどうかの特定と、その脆弱性がどのくらいの影響を及ぼすのかという重要度の判断が属人的になっていたため、均一的な対応ができていませんでした。
一方で、顧客企業からは、重要な脆弱性情報の提供とアップデート対応の要望が寄せられており、生産性向上とセキュリティ品質向上の両立を可能にするためには、これらの課題を解消する必要がありました。
そのような課題感があった時に、SIDfmでMSP事業者向けのプラン(SIDfm VM for MSP)が新たにリリースされるというお話をいただき、SIDfmを活用することで当社が抱えている脆弱性対応における課題が解決できると考え導入を決めました。
導入するにあたり、社内の手続きや調整に苦労したことはありますか?
技術部との調整に苦労しました。脆弱性対応をメニュー化し、サービス提供する数が増えるほど技術部の負荷が増えることになるので、どのくらいの顧客数やボリュームであれば対応できるのか相談しながら進めました。その調整が想定よりも時間がかかりました。
また、SIDfmのような脆弱性管理ツールの導入は初めてだったので、対応しているミドルウェアなどの確認なども大変でしたが、SIDfmのサポートの方々と確認・検証しながら進めていくことでクリアすることができました。
既存サービスのオプションメニューとして提供することで、顧客満足度が向上
導入後はどのような効果がありましたか?
一番の効果は、脆弱性管理業務の自動化による属人化の解消ができたことです。
SIDfmにより必要な脆弱性情報がまとまって、しかも自動で取得できるようになったので、エンジニアが脆弱性情報収集に要していた時間が不要になり生産性が大幅に向上しました。
脆弱性対応のオプションとしてメニュー化することにより売上単価UPなどの成果も出ており、事業的にも大きなメリットを感じています。
さらに、お客様に本オプションメニューをご案内したところ半数以上の方から好意的な反応があり、想定以上で驚きました。それだけ脆弱性対応に課題を持っている企業が多いということなので、改めて脆弱性対応におけるニーズの高さを実感しました。提供サービスの品質という観点においても、脆弱性情報の提供や修正パッチの適用などが迅速に行えるようになったことで、サービス品質の向上につながっています。
当社のエンジニアの生産性をあげつつお客様への付加価値が提供できるようになり、とても満足しています。
今後はセキュリティ人材の教育により力を入れ専門性を強化していきたい
今後の展望についてお聞かせください。
まずは、SIDfmを活用したサービス提供体制をしっかり整えていきたいと考えています。
特に、修正プログラムなどのアップデート対応のオペレーションを、お客様のご要望に応えられるように対応力を高めていこうと思っています。
また、セキュリティ人材の教育にも力を入れていきたいです。インフラ知識だけではなくセキュリティの専門的な知識をエンジニアが習得し応用できるように強化していく方針です。
ありがとうございました。