セキュリティ診断サービスの導入事例

武州ガス株式会社様

背景と課題

Webからの問い合わせ増加と、都市ガス事業者向けガイドラインがきっかけ

企画部 システム開発グループ マネージャー
高橋 宏実 氏

埼玉県川越市や所沢市を中心とした埼玉県南西部の約22万件に対して都市ガスを供給する武州ガス株式会社。日本ガス協会が策定したガイドラインにより、国内の都市ガス事業者に対して、情報セキュリティに関する基準が提言されたことを受け、同社でも対策を講じる必要性が生じました。

ガイドラインには、公開Webサーバーに対する対策も含まれていました。当時、契約者の引っ越しなどに伴う開栓依頼について、24時間対応可能なWeb申し込みの利用率が上昇してきていました。顧客の生活スタイルに合わせて問い合わせが可能な上、内容の履歴が残る点も支持されており、今後も増加する傾向は顕著でした。そのため安心・安全なWebサービスを提供する必要性が増していました。

そうした背景から、同社が最初の「セキュリティ診断サービス」を実施したのが2011年10月24日のことでした。

「セキュリティ診断サービス」は、サーバーの脆弱性やWebサービス改ざんの危険性を、高度なツールを使って調べます。さらに、ハッキング技術の専門家が多種多様な手法を駆使して疑似攻撃を仕掛けることで、より精度の高い診断を行います。

武州ガスは2004年頃から、日立ソリューションズと取引があります。

「初めて『セキュリティ診断サービス』を受けた2011年当時は、Webサービスは利便性ばかりを追い求めており、サーバーのセキュリティへの意識はまだまだ行き届いていなかったのが実情です。しかし、都市ガス事業者向けガイドラインに対応するための施策が喫緊の課題となりました。そこで、第三者による診断の必要性を検討していた時、日立ソリューションズから『セキュリティ診断サービス』の提案を受けました。急ピッチで対策を進める必要性を上層部に説き、経営者も出席するシステム会議を経て、実施が決定しました。価格に関しても、想定内でしたので、即決でした」（高橋氏）

実施と対策

初回実施の結果に驚き、セキュリティ対策の重要さを認識

企画部 システム開発グループ
栗田 翔太 氏

「セキュリティ診断サービス」は通常、3～5日をかけて脆弱性をチェックします。高度なセキュリティ診断ツールによる網羅的なチェックと、ハッキング技術の専門家による多種多様な疑似攻撃を目の当たりにした高橋氏は、その綿密な診断手法に驚きました。

「都市ガス事業者向けガイドラインに沿った対策はまだ講じていなかったものの、SSLによる暗号化など、通常必要なセキュリティは実装していたので、それほど悪い結果にはならないだろうと思っていました。しかし、がく然とする結果を受け取ることになったのです」（高橋氏）

診断結果は、日立ソリューションズのハッキング技術の専門家が現地訪問し、口頭で説明するプランを採用しました。重要な問題点を複数指摘されたため、約2時間半にもわたって報告を受けました。「セキュリティ診断サービス」を受けたことにより、対策しなければならない点が明確になり、報告会後はすぐにサーバー構築事業者を呼び寄せ、診断の結果を共有し、対応を進めました。2012年2月、第2回目の診断では、第1回目で指摘された問題点を修復した上での受診となり、結果は無事、最高ランクのAAA（同サービスにおけるセキュリティ評価は、AAA～Cまでの5段階評価）を獲得しました。

診断の結果に基づいて対策を行なったことで、セキュリティ対策が強化できたことの証明でした。

日立ソリューションズの「セキュリティ診断サービス」について高橋氏は、「診断の開始時・終了時の報告や、本番環境に配慮した対応など、きめ細かな対応をしてくれるので、大変助かっています」と評価します。

新卒で入社し、システム開発グループに配属となった栗田氏は、「診断後の報告書には、問題点とともに、どういった危険性があるのか、またその危険度のレベルが示され、さらに対策の取り方まで書かれています。とても参考になります。不慣れな用語などはできる限り分かりやすく表現してくれるのもありがたいです」と信頼を寄せます。

成果と今後

新しい攻撃に対応し続けるため「セキュリティ診断サービス」を継続して実施

人でいうところの健康診断と同様に、Webサーバーなどのシステムについても定期的な検診は欠かせません。

武州ガスでは、2011年以降、「セキュリティ診断サービス」を毎年継続して実施しています。

高橋氏はその理由を、「安心・安全なWebサービスを提供するためには、新しい攻撃への対策も行う必要があることを『セキュリティ診断サービス』を通じて実感したからです」と話します。診断の結果指摘された問題点を修復し、再診断を実施すると、最高評価のAAAを得ることができます。しかしそれで一安心というわけではありません。

「攻撃は日々高度化しており、対策をしたからといって、1年後の診断でAAAを得ることができるとは限りません。日立ソリューションズの『セキュリティ診断サービス』における疑似攻撃は容赦がありません。診断を通じて最新の攻撃手法を確認でき、対策に取り組むことができます」（高橋氏）

また「セキュリティ診断サービス」の結果は、間接的に社内のセキュリティに関するリテラシー向上にも一役買っています。企画部では、2015年から年1回、全社員参加のセキュリティに関する講習会を実施し、得られた最新のセキュリティ情報を社内で共有しているといいます。

武州ガスでは、都市ガスだけではなく、電気の販売もスタートし、Webサービスの利用者はさらに増え続けています。最近では、平時の開栓依頼などの受け付けだけでなく、災害時の情報提供や安全確認、状況確認など、武州ガスのWebサイトが担う役割も大きくなっています。

どのような状況でも安定した運用を実現するのが使命と心得る武州ガスを、日立ソリューションズは「セキュリティ診断サービス」を提供することで支援していきます。