セキュリティ診断サービスの導入事例

株式会社学研エデュケーショナル様

背景と課題

満足度の低い従来の脆弱性診断。Webコンテンツ拡充時の安全性の確認に課題

教務部 中学・高校課
田渕 理恵 氏

2020年度より、小学校では３年生から外国語活動が必修化されます。また、5・6年生は外国語が教科化され、通知表に「外国語」が追加されます。こういった新学習指導要領に合わせて、全国に「学研教室」「学研CAIスクール」を展開する株式会社 学研エデュケーショナルでは、教材の改訂に取り組んでいます。

これまでCD教材とプリント教材で学習を行ってきた「学研教室」の小学英語コースでは、2018年4月^＊よりICTを活用した教材とプリント教材に改訂を行いました。そのICT教材を置いているのが、「学研教室クラウドルーム」という、会員専用のWebサイトです。

「英語は耳で聞いて声に出すことが重要です。この教材では、子どもが発話した声を認識し、英語の発音を3段階で評価する仕組みも用意しています。CDに録音された会話を聞いてまねるのと異なり、学習の成果を自身で確かめられます」（田渕氏）

このシステムは、クラウドサービス上に構築されており、問題や採点などのコンテンツの更新や、発話評価を行う音声認識サーバーなどの運用管理はクラウド上で一元化されています。

「Webアプリケーションを公開・更新する前に脆弱性がないかを調べるため、外部機関に依頼して第三者チェックを実施しています。チェック項目をクリアしたアプリケーションで、お客様に安心してご利用いただけるようにしています」（中嶋氏）

第三者による脆弱性チェックは従来、システム開発の委託先が再委託した、専門業者の手で実施されていました。しかし技術面・価格面での満足度が低く、費用対効果を感じられていませんでした。

「診断内容はシステム開発の委託先に一任しており、必要最低限の説明や診断で発生した問題の報告のみ受けるという状態でした」（中嶋氏）

「診断に関する説明で、専門用語の多さに戸惑う場面も、しばしばありました。また、第三者によるチェックでは専門業者と直接やりとりできないため、診断の依頼から結果が出るまで多くの時間を要することもありました。チェックが遅れると、サービスのリリースにも影響しかねません」（田渕氏）

＊2018年度は幼児のみ

選定と導入

ハッキング技術の専門家によるコストパフォーマンスの高い診断を評価

教務部 中学・高校課
駒木 圭介 氏

2018年、学研エデュケーショナルでは、それまで各部門の裁量で行っていたシステムのインフラについて、新たに発足したシステム開発課が取りまとめることになりました。

「これを機に、今までシステム開発の委託先に任せていたWebアプリケーションの脆弱性診断について、新たに業者を選定することを検討し始めました。しかし、脆弱性診断は技術的に専門性が高く、適切な診断内容などが分からず困っていました」（中嶋氏）

そんなとき、日立ソリューションズから「セキュリティ診断サービス」の紹介を受けました。提案されたのは、「セキュリティ診断サービス」のラインアップである、「ネットワーク型診断サービス」と「Webアプリケーション診断サービス」です。これらは、サーバーやアプリケーションに対して擬似攻撃を行うことで、データの盗み見や改ざんといった不正行為の温床となる脆弱性がないか、ネットワーク経由で診断します。

診断ツールはもちろん、ツールだけでは判断できない脆弱性をハッキング技術の専門家が手動で確認することで、高精度な診断が可能です。診断するハッキング技術の専門家は、世界的なハッカーの祭典「DEF CON CTF Qualifier 2018」、SANS社のセキュリティコンテストなど国内外のさまざまなコンテストや大会へ出場し、優秀な成績を収めている点も特長の一つです。

「脆弱性診断は重要なセキュリティ対策でありながらも費用対効果を算出しにくい側面があり、できるだけコストを抑えたいというのが会社の方針でした。日立ソリューションズの提案内容は、ハッキング技術の専門家による専門的な診断も含めて納得のコストパフォーマンスだったため、『何か検査項目が漏れているのではないですか』とつい尋ねてしまったほどですが、それは無用の心配でした。検査項目も十分で、対面での結果報告会もあるということで、自信を持って上層部に提案でき、採用に至りました。サービスのリリースにも影響がないスケジュールで実施できる点も決め手でした」（中嶋氏）

成果と今後

スピーディーな診断結果と分かりやすいレポートに満足

管理部 システム開発課
中嶋 優美 氏

2018年3月、日立ソリューションズはハッキング技術の専門家による手動診断も含めたきめ細かな脆弱性診断をスピーディーに実施。その結果、危険度の高い問題は見つからず、「学研教室クラウドルーム」のコンテンツリニューアルを2018年4月に間に合わせることができました。

「日立ソリューションズの診断内容は、豊富な実績とハッキング技術の専門家によるプロフェッショナル診断もあり、非常に満足のいくものでした。レポートも分かりやすく、診断結果は担当者から対面で詳しく説明があったため、相談しやすいという安心感がありました。また、新学期からの学習に間に合わせるためにスケジュールは絶対に厳守する必要があり、迅速な診断を要望していたところ、診断実施の2日後にはすべてレポートが出そろうという、これまでの診断にはないスピード感で驚きました」（中嶋氏）

「リリースまで期間が短く、システム開発作業と並行して診断のご相談を進めていたのですが、最終見積もりをいただいてから診断実施まで2週間ほどの短期間で進み、大変助かりました」（駒木氏）

「診断はネットワーク経由なので、クラウドサービス事業者などの関係者と、脆弱性診断を行う日時の事前調整が必要です。クラウドサービス特有の技術的な注意点などもあり、日立ソリューションズには事前準備のサポートもしていただき助かりました。これまでシステム開発業者に任せており、専門知識が不足している部分がありましたが、実務上のポイントを含めてきめ細かなアドバイスがあり、社内にノウハウを蓄積できました」（中嶋氏）

「アプリケーションのリリース前に問題がないことが証明され、安心しました。仮に、Webサイトに脆弱性があれば、お客様にご迷惑をかけてしまい、当社の信頼も揺らぎます。日立ソリューションズの『セキュリティ診断サービス』を利用している、という点で、私たちにも安心感があります。おかげで、教材の制作に意識を集中できるようになりました」（田渕氏）

アプリケーションのリリース後、セキュリティに起因するトラブルは1件も発生しておらず、安定稼働しています。

「2020年の新学習指導要領に対応したコンテンツのリニューアルプロジェクトが着々と進んでいます。今後も、『セキュリティ診断サービス』を継続的に利用したいと考えています」（駒木氏）

日立ソリューションズは今後も学研エデュケーショナルの取り組みをサポートし、子どもたちの新しい時代の学びを支えていきます。