サービス活用事例
SaaS製品の安全性を立証するために
「期間」「品質」「コスト」の3つの課題を
AI駆動型ペネトレーションテストサービスで解決
情報処理サービス業 / 株式会社 無限
導入製品 : AI駆動型ペネトレーションテストサービス
- 導入事例・お役立ち資料
- AI駆動型ペネトレーションテストサービス
サイバー攻撃の巧妙化、被害の甚大化が加速する中、東京都新宿区に本社を置きシステム開発とSaaS製品事業の両軸で事業を展開する株式会社 無限様は「安心・安全なSaaS製品を提供することは当社の責務」と話す。そんな同社は、GRCSが提供するAIにより自動でセキュリティを検証するロボット「RidgeBot」を活用したペネトレーションテストサービスを利用。自社のSaaS製品の安全性を立証した。同社の取り組みを紹介する。
Problem
課 題
Benefit
得られた効果
- 自社SaaS製品にセキュリティ上の脆弱性や不備がないことを第三者視点で証明する必要があった
- 約1カ月という短期間でペネトレーションテストを実施しなくてはならなかった
- 限られた費用の中で、網羅的なペネトレーションテストの実施が求められた
- テスト結果レポートをエビデンスとして自社SaaS製品の安全性を示すことで信頼性が高まった
- 人手ではなくAIによる自動検査で、短期間に高品質なテストを低コストで実施できた
- 安心・安全を自社SaaS製品の付加価値にすることができた
サービス利用の背景
SaaS製品は手軽に導入できる一方
情報漏洩やサイバー攻撃のリスクも
1991年に創業した株式会社無限は、多様なSaaS製品を開発、提供している。なかでも「らくらく通勤費」は、鉄道・バスなどの公共交通機関はもちろん、自家用車や自転車、徒歩などの通勤交通費計算ができるほか、地図ソフトと連携して最適な通勤経路を導き出せる。通勤管理システムにおいて国内トップシェアを誇る。
SaaS製品には、比較的安価に、かつ手軽に導入できるというメリットがある一方、万が一、SaaS製品に脆弱性などセキュリティ上の不備があると、サプライチェーンを狙ったサイバー攻撃などのリスクにさらされる懸念もある。SaaS製品に限らず企業が導入・活用しているソフトウェアやシステムのセキュリティ上の不備を突いたサイバー攻撃は年々、増加傾向にあり、ある調査によると2024年に国内企業(法人・組織)が受けたサイバー攻撃は公表されたものだけでも前年比約1.5倍の約600件に達した。じつに「毎日平均1~2社」がサイバー攻撃の被害を公表していたことになる。
こうした状況の中、同社 取締役 PI事業部 事業部長の湊 聡氏は「安心・安全にお使いいただけるSaaS製品を提供することは、私たちの重要な責務のひとつです」と力を込める。その責務を果たすには、「当社のSaaS製品の安全性を担保することが大切です。SaaS製品の脆弱性を確認し、その結果をエビデンスとして示すことで、お客様に安心してお使いいただけるようにする、そのための取り組みを検討していました」(湊氏)という・・・
株式会社 無限
左から
取締役 PI事業部 事業部長
湊 聡氏
PI事業部 開発部 部長
弥富 靖朗氏
PI事業部 開発部 上級スペシャリスト
岸本 督司氏
課題からサービス利用まで
期間・品質・コスト
直面した3つの課題を解決する手段は?
自社SaaS製品の安全性をどう担保するか。同社は、SaaS製品のペネトレーションテストを検討した。ただし、ペネトレーションテストは通常、「ホワイトハッカー」と呼ばれる攻撃者の視点と技量を備えた専門人材が、さまざまな角度から実際のサイバー攻撃の手口を再現するように攻撃を繰り返し、時間をかけて脆弱性を確認する。当然、多額の費用もかさみ、簡単に実施するのが難しい。
そうした中で、同社は具体的な課題に直面した。同社 PI事業部 開発部 部長の弥富 靖朗氏は、「新規でグローバル企業のお客様から弊社SaaS製品導入のオファーをいただいたのです」と振り返る。ただし、導入の条件としてペネトレーションテストをグローバル基準で実施し、海外の担当者でも判断できる内容で提示することが必要だったという。「要望されている納期を踏まえると、通常の方法ではとても無理。半ばあきらめつつも、何か方法はないかと模索しました」(弥冨氏)・・・
株式会社 無限
取締役 PI事業部 事業部長
湊 聡氏
株式会社 無限
PI事業部 開発部 部長
弥富 靖朗氏
サービス利用の決め手
AI活用で人手がかかるテスト作業を大幅に効率化
高品質なテストを低コストで実施可能に
GRCSが提供するペネトレーションテストサービスの特徴は、AI駆動型であること。攻撃対象領域の検出、脆弱性スキャン、ペネトレーションテスト、レポーティングまでをAIが自動で実施する。選定の決め手について湊氏は、「まずは期間と品質でした」という。「1カ月程度という短い期間でテストを実施できるのか、いい加減なテストでは意味がありません。どのようなレポートを提出してくれるのかも含めて品質も重視しました」(湊氏)。
一般的なペネトレーションテストサービスと比べてコストが抑えられていたことも決め手となった。岸本氏は、「以前、ペネトレーションテストを実施したときには診断の範囲をかなり限定したにもかかわらず、数百万円もかかりました」と話す・・・
株式会社 無限
PI事業部 開発部 上級スペシャリスト
岸本 督司氏
採用の効果
網羅性を担保した高品質なテストで
安心・安全の証明をお客様に
同社では実際にペネトレーションテストを利用したことで、どのような成果・効果を感じているだろうか。湊氏は、「当初、直面していた『期間・品質・コスト』の3つの課題をクリアできました」と成果を示す。
まず、期間について岸本氏は、「1週間程度はかかると思っていたテストが翌日には終わるなど、とにかくスピーディでした」と説明する。これに対しGRCS ソリューション戦略部 セキュリティコンサルタントの北島 康晴は、「ホワイトハッカーなど人手によるペネトレーションテストであれば、1つの画面や機能ごとに脆弱性を確認していくが、AIを使えば繰り返しとなる作業を大幅に効率化できます。本来なら数日や数週間かかるところを数時間で終わらせることができます」と強みを示す。
一方、お客様からの反応は「品質の高いテストを確実に実施しているという評価でした」(岸本氏)という・・・
株式会社GRCS
ソリューション戦略部
セキュリティコンサルタント
北島 康晴
株式会社 ブロード
セキュリティ事業本部
第二セキュリティ事業部 ディレクター
小出 和希氏
今後の展望
新しいセキュリティ脅威に対応するため
定期的にテストを実施したい
同社では、今後も継続してペネトレーションテストを活用していきたいと考えている。岸本氏は、「サイバーセキュリティの世界では、日々、新しい脅威が生まれ、新しい脆弱性が発見されているといっても過言ではないでしょう。やはり、定期的にテストを受けて、常に安心・安全なSaaS製品をお客様にご提供できるようにすることが大切です」と話す。
弥富氏も同様に、「少なくとも毎年1回は必ずテストを受け、お客様に対して『当社のSaaS製品はしっかり脆弱性をチェックしています』と声を大にしてお伝えできる状態を維持していきたい」と語る・・・
- 会社名
- 株式会社 無限
- 業種
- 情報処理サービス業
AI駆動型ペネトレーションテストサービス とは
攻撃対象領域検出からペネトレーションテストまでを自動かつ継続的に行い高いセキュリティレベルの維持と管理者の負荷軽減を実現
サービス活用事例ダウンロード
サービス活用事例
AI駆動型ペネトレーションテストサービス
情報処理サービス業 / 株式会社 無限
記載されている情報は取材時におけるものであり、閲覧される時点で変更されている可能性があります。予めご了承下さい。本書に含まれる技術情報は、予告なく変更されることがあります。記載されている会社名および商品名は、各社の商標または登録商標です。