「J:COM」ブランドで知られるケーブルテレビ事業を主軸に、電話やインターネット、ガス、電力、モバイルなど幅広いサービスを展開するJCOM株式会社。17,000名近い従業員を抱えるこの会社のセキュリティ監視業務を担うセキュリティオペレーションセンターでは、EGセキュアソリューションズ株式会社(以下、EGセキュアソリューションズ)の「脆弱性診断内製化トレーニング」を採用。計8回にわたるオンライン講義を受講されたセキュリティオペレーションセンターの白井様と水野様に、サービス導入の目的や成果、トレーニングの感想について語っていただきました。
導入の背景
知識やスキルの統一化を図るべく「脆弱性診断内製化トレーニング」を導入
- 白井様
- JCOM株式会社ではさまざまなサイトを運用しています。社内規則により脆弱性診断の実施を義務付けておりますが、そのやり方についてはこれまで各現場に一任していました。各現場によって異なるベンダーへ診断を依頼することから、レポートの形式や診断の品質が異なったり、現場担当者のスキルや認識もバラバラという課題がありました。なんらかのルールづけやレベルの統一化を図る必要性は常に感じていました。
- 水野様
- 私たちの所属するセキュリティオペレーションセンター(以下、SOC)はセキュリティの監視業務がメインであり、脆弱性診断の業務は今までは一部機器のプラットフォーム脆弱性診断だけを実施していましたが、SOCの業務を拡大する計画もあり、さまざまなベンダーへ依頼していたWebアプリケーション脆弱性診断を内製化することで、レベルの統一化を図ろうと考えました。
解決策を模索した末、到達したのが、EGセキュアソリューションズさんが手がける「脆弱性診断内製化トレーニング」サービスの導入です。
マネージャー/公認情報システム監査人(CISA)、CISSP、GCIH 白井様
- 白井様
- EGセキュアソリューションズさんとは、弊社のサイバーセキュリティ推進室がセキュリティ全般に関する顧問契約を結んでいて、日頃から専門的なアドバイスをいただいていたので、同業他社のサービスと比較する必要もありませんでした。
- 水野様
- あの『徳丸本』(徳丸浩著『体系的に学ぶ 安全なWebアプリケーションの作り方』/SBクリエイティブ刊)の著者である徳丸先生の会社なら間違いないと。他の選択肢は挙がりませんでしたね。
無理なく学べる実践形式のカリキュラムと
充実の講義内容でセキュリティの知識が高まった
情報処理安全確保支援士 水野様
- 水野様
- 「脆弱性診断内製化トレーニング」は、2020年10月から2021年1月末の間に計8回、SOCのスタッフ7人がオンラインで受講させていただきました。一度の講義は4時間と長丁場でしたが、興味のある分野だったので、楽しく学ぶことができました。 EGセキュアソリューションズさんは、トレーニングの導入が決まった時点で、スキルマップシートを活用して私たちのWebアプリケーションに関する知識やスキルのレベルを把握し、無理なく学べるカリキュラムをゼロから構築してくださったので、受講前に抱いていた「講義自体についていけるのか」という不安はすぐに消えました。
- 白井様
- 座学よりも演習が多めで、わからないところがあれば質問もできます。スタート前は、4時間は長いなと思いましたが、実際はあっという間でした。脱落者もいなかったので、カリキュラムにも内容にも満足しています。私たちのために作成していただいたテキストもわかりやすく、非常に役立ちましたね。
- 水野様
- 技術的な理解が深まり、Webアプリケーションの仕組みが見えてくると、どんどんおもしろくなってくるんですよ。気づくと、脆弱性診断も自分の手でできるようになっていました。今はまだWebアプリケーション脆弱性診断の範囲を拡大しながら診断を行っている最中ですが、今まで実施頂いているベンダーの診断レポートと比較しても品質が低下していることもなさそうで確実に手応えを感じています。また、これまで難解だった診断レポートも、ある程度読み解けるようになり、まだまだ不明瞭な部分はありますが、『徳丸本』を参照することで脆弱性を紐解いて解決できるようになりました。なにより、『徳丸本』をスラスラ読めるようになったのがうれしいです。
- 白井様
- ベンダーが行った試験項目が足りているかどうかの確認もできるようになりました。細かい部分にまで目が届くようになったのは大きな成果です。 システムが扱う情報の重要性等も鑑みながら外注と併用する形になりますが、今後は状況に応じて、内製によるWebアプリケーション診断も随時できる体制を整えていきたいですね。
トレーニング内容には全幅の信頼。数年に一度のペースで受講したい
- 水野様
- 「脆弱性診断内製化トレーニング」を終えて7ヶ月。脆弱性診断が出来るようになったことに加えて、社内のセキュリティ監視、例えばマルウェアがHTTPやHTTPSを使って不審なサーバへアクセスするような事象の分析をより深く理解し、一定の品質を保ちながら行うことができるようになったと思います。 個人的には、4時間ずつ計8回の講習でWebセキュリティに関する理解が深まったと実感していますが、688ページもある『徳丸本』の完全理解に至ったわけではありません。今回身につけた基本的な知識をもとに、引き続き学んでいきたいですね。
- 白井様
- 技術のブラッシュアップは必要ですし、メンバーの入れ替えもあるはずですから、何年かに一度のペースで繰り返しトレーニングを行いたいと考えています。知識が温かいうちに詰め込みたいので、次は4か月という期間をもう少し凝縮してもいいかなと感じています。トレーニング内容には全幅の信頼を置いていますので、次回もよろしくお願いいたします。
