株式会社電通コーポレートワン様

定評ある高品質な診断サービスを活用し、広告会社特有のWebアプリに潜む脆弱性を可視化

電通コーポレートワン
テクノロジーオフィス　サイバーセキュリティ部
永井秀幸氏
本記事の内容はインタビュー実施時点（2025年12月3日）のものです。

電通はデジタル化の一環として、複雑な機能を備えたWebアプリケーションを開発・活用している。脆弱性診断については各プロジェクトの自主性に委ねられており、全社統一的な基準での管理が課題となっていた。そこで以前から品質に定評のあったMBSDの脆弱性診断サービスを活用し、第三者視点で脆弱性を洗い出し可視化することで、迅速に修正する運用サイクルを実践している。

背景と課題　

デジタル化推進の一方で、現場任せが続いていたWebアプリの診断

国内最大手の広告会社であり、多くのグループ会社を持つ電通では、社内向けのIT基盤に加え、メディアやクライアント企業との連携の際に活用するさまざまなシステムを開発しながらデジタル化を進めてきた。
「単純なECサイトや動画配信サイトとは異なり、たとえば広告ならば出稿のスケジュールやコストなどを外部の関係者も交えて調整するための、複雑な機能やアクセス制御が求められるWebアプリケーションを開発してきました。かつそれが、我々にとっての重要資産となっています」（永井氏）
こうしたWebアプリケーションの多くは、パートナー企業や開発ベンダーを中心に外注で開発・構築してきたが、脆弱性診断については性善説に基づき、現場主導で行われていた。「ベンダー選定や診断実施の判断が各現場に一任されていたため、全社的なコスト感や診断品質のばらつきを正確に把握しきれていない課題がありました」（永井氏）
だが、国内でもサイバー攻撃が横行し、情報漏洩などの被害が発生している実情を踏まえると、「まだ電通では起きていないから大丈夫」という意識のまま、従来通りのやり方で済ませるわけにはいかない。そこで、電通としてのWebアプリケーションのセキュリティチェックに関するルールを整備し、それに沿って診断が行える新たなパートナーを探し始めた。

導入のきっかけ

MBSDの質の高さと柔軟な対応体制が決め手のポイント

永井氏はまず、セキュリティベンダーでソリューションを提供する側にいた経験を生かし、「何を対象に、どの程度のレベル感で、どのような診断を実施すべきか」「診断を一度きりで済ませず、どのようにサイクルを運用すべきか」というルール作りから着手した。
続けて、そのルールに基づいて診断を実施するための外部サービスの検討を進め、浮上したのがMBSDだった。永井氏はセキュリティベンダーに所属していた当時から、MBSDの診断サービスのクオリティを認識していたという。
あらためて複数のサービスを比較したが、「コストや診断に要する時間、診断結果などさまざまな観点で評価しましたが、やはりMBSDが最適だと判断しました。」（同氏）
脆弱性診断を実施し、指摘された問題点を修正するとなれば、時間やコストがかかることは否めない。そのため導入に際しては、ビジネスを直接動かす現場の理解をいかに得るかが多くの企業で課題の一つとなる。電通も例外ではなく、当初はビジネススピードとセキュリティをどのように両立させるかについての議論もあった。
こうした現場の事情を理解した上で、柔軟に対応できる体制が整っていることも、MBSDを選定した理由の一つだった。「いくつかのケースを想定し、たとえば急ぎの場合にどのような対応をしてもらえるのか、協力していただけるのかを確認させてもらいました」（永井氏）

経緯と成果

あいまいな状態から脱却して脆弱性を可視化、修正までのプロセスを確立

こうして電通では、既存のポリシーや資産分類ルールなどを踏まえて診断に関するルールを策定し、2023年からMBSDの力を借りながら本格的に診断を開始した。すると、従来の診断基準ではカバーしきれなかった課題が可視化できたという。
「これまでの診断では見つからなかった脆弱性が明らかになったことも含め、脆弱性の状態を可視化できたことは大きな成果でした。あらためて、MBSDの診断の精度の高さを実感しました」（永井氏）
診断スケジュールは永井氏が調整し、実際の運用は3名の支援メンバーが回しているが、「MBSDには事前の調整から診断、その後のクローズまで支援していただいています。こうした動きに非常に助けられ、スムーズに運用できています」と永井氏は語る。
指摘された脆弱性は、「Secu-mag」を介して運用を支援している協力会社と共有し、対応を依頼している。深刻な問題は最短で修正し、特に新規のサービスや大規模な改修を加えた場合は、修正が完了するまでリリースしないルールだ。
「メールやクラウド上のファイル共有サービスなど、複数の手段で脆弱性に関するコミュニケーションを進めていくと、煩雑になるだけでなくミスも起こり得ます。これに対しSecu-magでは、専用のポータル環境でコミュニケーションを取ることができ、ファイルの共有まで可能なことは非常に大きなメリットでした。しかもプロジェクトごとに権限を細かく設定できるため、情報のやりとりや保管がセキュアに行えます」（永井氏）
またMBSDとは普段からコミュニケーションを取っており、Webアプリケーションの脆弱性に限らず、クラウド基盤の設定など、セキュリティに関してより踏み込んだアドバイスを得ることもある。「しばらく診断の現場から遠ざかっていたため、最近のトレンドや新たな脆弱性の見つけ方、近年の開発スタイルを踏まえた診断の観点など、さまざまな情報にキャッチアップできています」と永井氏は評価し、こうしたMBSDの良さを、時に周囲や同業他社のセキュリティ担当者にも推奨しているという。

今後の展望

ツールによるチェックと最後の砦としての診断を併用し、セキュリティ品質を維持

電通ではMBSDによる脆弱性診断と並行して、診断ツールも導入し、内部での診断も実施している。ほぼ更新がなく、わざわざ手動で見る必要がないものや、スピードが最優先の場合はツールで確認する一方、事業にとって非常に重要で、しっかりチェックする必要のあるWebアプリケーションはMBSDに依頼することでセキュリティを担保する形で、うまく使い分けている。
また、開発の初期段階からセキュリティを確保する取り組みも始めている。Webアプリケーションを開発する際には要件や設計をシートに記入し、セキュリティレビューを行うことで、セキュア・バイ・デザインを推進している。
「ただ、事前に確認を行っても、開発からリリースまでの間に変更が加わる可能性はあります。最後に診断を実施することで、その過程で生じた脆弱性も拾えるため、脆弱性診断はやはり効果があると考えています」（永井氏）
近年はビジネスのみならず、システム開発においても、AIをはじめとする先端技術の導入が進んでいる。セキュリティ診断も例外ではなく、AIを生かした進化が始まっている。