株式会社ゴルフダイジェスト・オンライン（GDO）様

2000 年の創業当初からデジタル技術を活用してきたゴルフダイジェスト・オンライン（GDO）にとって、セキュリティは常に身近な課題だった。MBSD の Web アプリケーション脆弱性診断に加え、コンサルティングを活用することで、自社だけでは得られない客観的な視点や知見を参考にしながら、全社的なセキュリティ戦略を推進している。

GDOの事業特性と課題

創業時からデジタルを前提にしてきた GDO、セキュリティもインフラの一部に

脆弱性診断サービス導入のきっかけ​

進捗に合わせ、柔軟な体制で Web アプリケーションの脆弱性診断を実施

そんな GDO が MBSD の支援を受け始めたのは 2009 年に遡る。
アプリケーション開発の段階から「やるべき対策をしっかり実施しよう」という意識が、現場のエンジニアからマネージャーレベルにまで浸透しており、その一環として脆弱性診断を実施することにした。
「自分たちでは安全に Web アプリケーションを作ったつもりでも、果たして大丈夫かどうか確信が持てない状況でした。そこで MBSD に脆弱性診断を依頼し、以後もシステムの大規模な入れ替えに合わせて診断をお願いしてきました」（清水氏）
評価しているポイントの一つは、見つかった問題点をまとめたレポートのわかりやすさだ。開発に携わるエンジニアにもわかりやすい内容が、推奨される対策とともに提供される。「項目ごとに『これは一体どんな意味でしょう』と確認し直す必要がないため、リリースまでのスピードアップにも寄与しています」（清水氏）
また、必ずしも計画通りに進むとは限らない開発の進捗状況やプロジェクトの予算に合わせ、機能を限定して診断を実施したり、優先順位を推奨するなどの柔軟な対応が得られるのも、他にない特徴だと感じている。「アプリケーションができあがってからでないと診断はできないと言われるのが一般的ですが、MBSD には『おそらくこの時期にこういったアプリができる予定なので、このくらいのタイミングでお願いしたい』といった相談に応じて、できる範囲で対応していただいています」（清水氏）
Web アプリケーションを取り巻くリスクが高まるにつれ、遵守すべきガイドラインや対策のレベルも向上している。直近では、クレジットカード決済において 3D セキュアの導入が求められているが、GDO はそうした水準を満たすべく、リリース前には診断を実施するルールを定め、サービスのセキュリティ向上に努めている。
その効果を清水氏は「診断に加え、WAF の性能向上も相まって、アプリケーションレイヤーに関してはほぼ問題なく、安眠できる状態を維持できています」と語った。
今後は、エンジニアのスキルアップを図りながら、開発段階からセキュリティを意識して極力指摘事項を減らし、もし問題点が見つかったとしても手戻り少なく対応できるような体制作りも視野に入れていく。その中では生成 AI の積極的な活用も視野に入れている。

コンサルティングサービス導入後の利用拡大と体制整備​

専門的かつ客観的な視点に基づくアドバイスを得ながらセキュリティ戦略を推進

こうして「アプリケーションを守る」という命題では成果を上げてきた GDO だったが、セキュリティ上留意すべきポイントは他にも多岐にわたる。
「アプリケーションのセキュリティだけで十分かというと、決してそうではありません。PC のセキュリティもあれば、社内オフィスのセキュリティもあります。どこかに死角はないか、またどこから手を付ければいいかを明確にするに当たって社外の力を借りるのが最善だろうと判断しました」（山外氏）
個人情報を扱う予約サービスやクレジットカード決済を行う EC 事業を展開する GDO にとってセキュリティは重要な課題だが、決して本業ではない。セキュリティを専門とする人材が社内に多数在籍するわけでもない中で、あるべき姿に向かってどのようにレベルアップしていくかという全体戦略を描くのは難しいと感じていた。
「私は元々エンジニアだったこともあり、アプリケーションの診断を実施すべき、EDR を導入すべきといった個別の対策については進言できます。しかし GDO 全体としてどこに手を加えるべきか、何を優先すべきかという話になると自信を持って断言できませんでした」（清水氏）
そこで、Web アプリケーション診断や緊急時の対応支援を通して信頼関係を築いていた MBSD に依頼し、セキュリティ戦略全体に関するコンサルティングを受けることにした。
「NIST のサイバーセキュリティフレームワーク 2.0 に基づいて実施すべき事柄を洗い出し、今、何がどの程度できているかを把握しました。そして、最終的に目指しているレベルに向け、今すぐ手を付けるべき対策、次に実施すべき対策といった順番を整理した上で、全体の底上げを進めています」（山外氏）
MBSD のアドバイスを通して、社内の議論だけでは得られなかった視点や、客観的な視点で優先すべき事柄について示唆を得ることができ、戦略は大きく前進している。「第三者視点からのアドバイスを得ることで、経営層への説得力が大きく増しました。また、何を実現するかについて合意した後の『どう実現するか』という手段についても、我々にはないアイデアを出していただけています。おそらく、我々だけではここまでのことはできなかったでしょう」（山外氏）
そんなアドバイスを踏まえて進めている取り組みの一つが、全社的なデータの棚卸しだ。「各社員が平時から業務の中でデータを適切に扱えているかどうか、機密扱いの情報を認識してそれにふさわしい形で保管できているかを可視化しようとしています」（山外氏）。これまで実施してきた情報漏洩の防止策や保護策と並行して、データをより適切に扱うための体制や規約の整備も含め、MBSD の支援を得ながら包括的な取り組みを進めている。
もう一つは、百台以上にのぼるサーバの脆弱性対応の最適化だ。「現状では、パッチがリリースされたのですべて適用するよう依頼していますが、それでは現場の労力が大きすぎます。脆弱性の情報を踏まえ、緊急度が高いものは一気に適用する一方で、他の策などでリスクを緩和できるものは定期メンテナンス時にまとめて実施するといった具合にメリハリを付けて対応できるよう、判断基準や運用体制も含め、整備をともに進めています」（山外氏）
実作業を効率化するために、MBSD がプロの視点から提案してきたツールも導入していく。ただ「その際も、あまり『この製品を導入した方がいいですよ』と押し売りをしてこないところが信用できると思っています」と山外氏は述べ、幅広い情報収集力に基づき、構築だけでなく、その後の運用を見据えた提案を評価しているとした。

今後の展望と期待するパートナーシップ​

GDO の歩みに合わせて伴走しながらの支援に今後も期待