S.RIDE株式会社様

導入事例

AIを活用したスピーディな脆弱性診断の活用で

Webサービスの開発期間も短縮

顧客のセキュリティの要望に
見合ったチェックを、先手で実施

ーーまず、今回採用いただいているような、脆弱性診断を導入するに至った背景について教えてください。

タクシー配車サービスS.RIDE（エスライド）のスマートフォンアプリ以外に、ブラウザでご使用いただくS.RIDE Biz（エスライド ビズ）という法人様向けのwebサービスを始めるタイミングで、セキュリティ周りもそれに見合った新しいものを探していました。S.RIDE Bizは法人様向けということもあり、どんなツールを使って、どういう項目でどんな企業がセキュリティチェックしたか、ということも導入を検討いただく法人様に当然聞かれるであろうと想定していたので、先手を打って実施しておきたかったというもあります

ーー特にどんなところに着目して、セキュリティチェックを選定されたのでしょうか。

開発コストとスケジュールに見合うかどうかが大きなポイントでした。
私は以前、大手自動車メーカーにいたのですが、そちらでは非常に「伝統的な」というか、重厚長大なセキュリティチェックを採用していました。それに対して、当時サーバーエンジニアとしてフラストレーションを感じたこともあって。

ーーどのようなフラストレーションでしたか。

チェック自体に時間がかかるのと、出てきた結果を見ると「この項目って今の時代に必要なのかな」と思うものもあって、それらを省いてもっとライトにできないものかと常々思っていました。
当社でエンジニア兼プロジェクトマネジャーという立場になって、そうした視点もアップデートされたセキュリティベンダーを探していました。その中で出会ったのがレイ・イージス・ジャパンさんでした。

開発コストとスケジュール感と
世界基準に基づいたチェック項目

ーーレイ・イージス AIリモート脆弱性診断を選んだ決め手はどのようなことだったのでしょうか。

AIが一部入っているので、他のセキュリティベンダーにお願いするよりも、時間的なコストが抑えられ、それに伴って費用がリーズナブルな点に着目しました。
FQDN単位での価格設定だったので、予算も初期の段階で精度高く確定できて、その後も金額が大きく変わらず、見通しが立てられました。おかげで、社内で何度も決裁を取り直す必要がなく、私の立場としては大きなメリットだったというのがあります。

ーー実際、導入するまでの時間的コストや負担感といったことはいかがでしたか？

私がレイ・イージス・ジャパンさんとの窓口と、社内調整を行っているのですが、決裁含めて上司との折衝は非常にスムーズに進みました。従来のセキュリティチェックと比較して低コストかつスピーディなので、上司から「本当に大丈夫なのか？」と確認されたこともありましたが、それに対しては、「AIも活用されていて、いまどきはこういった診断が主流になりつつあります」と説明していました。
あとは、OWASPが、ちゃんと定期的にアップデートしているwebアプリの世界的な基準に沿ってチェックされる点も安心材料です、と上司に伝えることができたので説得力があったと思います。

　※）OWASP（The Open Web Application Security Project）
　Webアプリケーションを取り巻く課題の解決を目指すオープンなコミュニティ。

ーー当初からAPI診断もセットで考えておられたのですか？

そうですね。新しくウェブサーバーを立てて新サービスを始めるのだったら、将来的には外部に向けてAPI を提供することになると想定していました。
たとえば、S.RIDE Bizのような法人向けのサービスですと、各企業がすでに利用されている経費精算システムと連携するケースが多いですね。
それらのAPIもまとめてチェックしておけば、後々お客様から聞かれた時に、ちゃんと「全部やっていました」とお答えできるので、ご安心いただけるかなと考えていました。

とにかくスピーディで
レポートも見やすく安心でした

ーー実際にレイ・イージス AIリモート脆弱性診断ならびに、API診断を受けてみて、予想外だったことはありますか？

以前に採用していたものと比較してとにかく速いというのが、いい意味で予想外でしたね。速いとはいえ 2 週間〜1ヵ月くらいかかるイメージを持っていたのですが、技術の方から開始のご連絡をいただいてから1週間から10日後くらいに終了の連絡が来て、正直驚きました。
しかも、結果も、以前に2〜3ヵ月もかけてチェックして出てきたレポートと比べて遜色ないレベルなので、スピードとクオリティがすごいなと感じましたね。

ーーレイ・イージスからの報告会はいかがでしたか。

初回のチェックの後に、診断の報告会を開催していただきました。レポートの見方などを丁寧に教えていただける場だと思います。たとえば一般企業などでICTの専門的な知識があまりないという方でも、これなら安心なのではと思います。

ーー脆弱性診断を定期的に実施されてみて、効果としてはどのように捉えておられますか？

特に大きなインシデントが見つかったというのではなく、「何も起きていない」こと自体が効果だと感じています。S.RIDE BizはTo Bのサービスなので、お客様が大手企業となるケースがありますが、その際必ずセキリティチェックシートの提出が求められます。それに対してきっちりと応えられて、審査も問題なく通っているというのが一つの大きな効果です。
もう一つが、セキュリティチェックの期間が短いことで、その分早くサービスがローンチできているというのも、効果と言えるでしょうね。

グローバル展開の可能性を踏まえて
サービスをさらに充実させたい

ーー今後のサイバーセキュリティに関する方向性について教えてください。

現在のS.RIDEの事業規模に適したレベルでの脆弱性診断をしていただいていますが、サービスが成長して露出が増えればそれだけ攻撃リスクも高くなりますので、先手を打って強化していく方向です。
今後は、グローバル展開の可能性を踏まえ、将来的に各国のセキュリティ基準に対応できることを意識しておく必要があると考えています。例えばヨーロッパでは日本よりももっとセキュリティに対する基準が厳しくなるので、そうした点も視野に入れながら体制を整えるイメージを持っています。

ーー対面でのコミュニケーションの価値が見直されている中で、御社のサービスはますます重要になってきますね。

ビジネスでの生産性を上げていくためには、特に都市部においては、「タクシーがすぐ来る」「最適なルートで移動できる」「現金でのやり取りなしでスムーズに降りられる」ということは非常に重要な要素と捉えています。
S.RIDE Bizとしては、そのような生産性の観点からも、効率的な移動をサポートすることを使命としています。今後も安心してご利用いただけるように、システムのセキュリティレベルの向上を図っていきます。

ーー本日は貴重なお話をお聞かせいただき、ありがとうございました。