• ソフトバンクモバイル株式会社 様

短時間で非破壊検査が可能なRetinaを使い
脆弱性診断の運用負荷を削減、広範囲な診断を可能に

システム規模が大きくなるにつれて、人手に頼る脆弱性診断体制に限界を感じ始めたソフトバンクモバイル。同社は増え続けるシステムの健全性を維持し、より広範囲な脆弱性診断体制を築くため、短時間で効率的に診断可能で、サービス提供開始後にも利用可能な非破壊診断ツールRetinaを採用した。

  • 診断項目を対象に合わせて自動的に選択し、短時間で診断
  • 診断時のシステム破壊がなく、サービス提供後のシステムにも利用可能
  • 操作画面、レポートが日本語化され、グループ企業への展開も容易
  • ソフトバンクモバイル株式会社
    技術管理本部
    デジタイズソリューション部
    プロジェクトマネジメント課
    CISSP
    北谷 忠士 氏

  • ソフトバンクモバイル株式会社
    技術管理本部
    デジタイズソリューション部
    システムデザイン課
    荒井 秀樹 氏

  • SCSK株式会社
    ITマネジメント事業部門
    基盤インテグレーション事業本部
    グローバルセキュリティ
    ソ リューション部
    サイバーセキュリティ
    ソリューション課
    主任
    井戸川 明裕

  • SCSK株式会社
    ITマネジメント事業部門
    基盤インテグレーション事業本部
    グローバルセキュリティ
    ソリューション部
    サイバーセキュリティ
    ソリューション課
    シニアエンジニア
    山田 慎一

システム数、サーバー数が増加し、脆弱性診断の負荷が課題に

今や携帯電話は一大IPサービス網であり、ユーザに安定して高品質なサービスを提供するために、システムのバックエンドでは多数のサーバーが稼働している。ソフトバンクモバイルももちろん、例外ではない。

「お客様から求められているのは、使いやすくて便利なサービスです。止まらない、落ちない、遅延がないというのはその大前提になっています。もちろん、インシデントによる停滞も許されません」

そう語るのは、ソフトバンクモバイル株式会社 技術管理本部の荒井 秀樹氏だ。止まらないサービスを実現するためには、サーバーなどハードウェア環境だけを健全に維持すればいい訳ではない。ネットワークやアプリケーションも含めてバグや脆弱性がない状態に保ち、動かし続けなければサービスは維持できないのだ。

サービスの停滞を引き起こすシステムの脆弱性を排除するため、ソフトバンクモバイルでは脆弱性診断を続けてきた。しかしシステム規模が大きくなるにつれて、診断業務に限界を感じるようになったと、ソフトバンクモバイル株式会社 技術管理本部の北谷 忠士氏は言う。

「以前はオープンソースの診断ツールを使って診断を行っていましたが、ツールの性能に限界があり、人手で補わなければならない部分も多くありました。診断には時間がかかり、メンテナンスタイムを脆弱性診断のみに費やしてしまったこともあります」

従来使用していた診断ツールの課題は大きくふたつあった。ひとつは、非破壊での脆弱性診断ができず、サービス稼働中のリアルタイム診断が困難だったこと。もうひとつは、診断自体に長時間を要することだった。これらを解消するために、より効率的な脆弱性診断ツールの模索が始まった。

短時間で非破壊検査が可能なRetinaを採用

新たな脆弱性診断ツールに求められる要件は明確だった。非破壊で診断を行えること、検知率が高いこと、今後も使い続けるために継続的な開発とサポートが行われていること。これらの要件に基づいていくつかの脆弱性診断ツールをピックアップし、実際に使用して比較検討が行われた。その中のひとつが、BeyondTrust社のRetinaだった。

「非破壊率の高さと診断スピードの速さでは、比較検討した製品の中でもRetinaが群を抜いていました」

荒井氏は、選定時を振り返ってそう語った。Retinaは実際に攻撃コードを実行することなく診断を行うので、診断実行時にシステムを破壊してしまう恐れが極めて低い。また、診断対象のシステムに合わせて必要な項目に関してのみ診断を行うため、診断に要する時間も短くて済む。さらに北谷氏は、ローカライズについても言及した。

「GUI、レポートともに日本語に対応していたのもよかった点です。以前使っていた診断ツールでは、ローカライズして日本語対応させるだけでも苦労しましたから」

申請に応じて脆弱性診断を行うだけではなく、担当部署が必要に応じて脆弱性診断を行えるよう社内向けのツール提供も以前から行われていた。しかし従来使っていたツールは英語をベースにしており操作にも深い知識が求められたため、操作画面の日本語化などローカライズを施したうえで社内に提供してきた。担当部署からの依頼を受けて脆弱性診断を行った場合でも、出力されたレポートを翻訳し、日本語のわかりやすいレポートに作りなおしてから提供していたため、診断時の負担は少なくなかった。こうした負担は過去のものになるだろうとSCSKの井戸川 明裕は言う。

「Retinaでは、操作画面、レポートともに日本語化されているため操作方法がわかりやすく、出力されるレポートもそのまま活用できます。診断を行う担当部署、管理される提供部署の双方の負担が軽減されるはずです」

実際の導入に当たっては、Retinaの販売に長く携わり、導入や設定のノウハウを多く持つSCSKのサポートも惜しみなく投じられた。当時の対応についてSCSKの山田 慎一は次のように振り返る。

「定期的な監視作業を実行するためのパラメータ設定のご提案など運用上の支援に加え、導入に際して必要だったアプリケーションの機能改善やカスタマイズについてもBeyondTrustへエスカレーションを行うなど、ソフトバンクモバイル様とベンダとの橋渡し役としても積極的にお手伝いさせていただきました」

グループ企業への展開を視野に新たな診断体制を構築

Retinaはまず開発環境に導入され、開発中サービスの脆弱性診断に活用されている。以前は人手に頼る部分が多かった脆弱性診断が自動化され、そのまま活用できる日本語でのレポートが出力可能なため、運用工数は大きく削減された。Retinaを使った脆弱性診断の運用体制を構築したのちは、本番環境へのサービス展開時の診断、さらには既存サービスへのアドオン展開へと段階的に適用範囲を広げていきたいと、北谷氏は今後のロードマップを語ってくれた。

「まずは東京から導入をはじめ、ゆくゆくは全国の拠点へ展開します。さらにその後は脆弱性診断の標準ツールとして、ソフトバンクBBやソフトバンクテレコムなど、グループ内にも展開していきたいと考えています」

予定通りに展開が進めば、最終的には数万のIPアドレスを対象に、開発中のものから提供中のものまで数多くのシステムの脆弱性を調べ、サービスを健全な状態に保持する。

「脆弱性診断ツールは、システムの信頼性の裏付けとなるもの。運用支援や操作トレーニングの提供、利用現場とベンダとの橋渡しなど、これから先のSCSKからの支援にも期待したいところです」

荒井氏はRetina、さらにSCSKへの今後の期待を込めてそう語り、インタビューを締めくくった。

Customer Profile ※2012年3月31日現在
会社名 ソフトバンクモバイル株式会社
本社所在地 東京都港区東新橋1-9-1
資本金 1,772億5,100万円
代表取締役社長 兼 CEO 孫 正義
従業員数 約6,800人
URL http://www.softbankmobile.co.jp/
概要 携帯電話、タブレットデバイスなどの通信端末と、通信サービスを提供するソフトバンクモバイル。プラチナバンドと呼ばれる900MHz帯で3G通信を補強する一方、より高品位な通信が可能な4Gネットワークの整備にも急ピッチで対応するなど、ネットワーク品質の向上に向けた努力を続けている。
  • ソフトバンクモバイル様

    サービス提供中でも利用可能な非破壊診断ツールRetinaを採用して、大規模システム維持のための脆弱性診断体制を構築。