脆弱性診断ツールをSecurifyへ乗り換え！セキュリティが支えるメディア運営

導入企業紹介

株式会社ベビーカレンダーは、1991年4月に創立された女性や出産を支援する企業です。メディアの運営や医療施設への自社サービス提供をする中で、「顧客中心」「スピード」「Wow！を提供」を掲げ、サービス開発、運営のほぼ全てを自社でおこなっています。

メディア事業の一環として複数のYouTubeチャンネルを運営しており、その視聴数は月間7,000万回を超えます。さらに、メインサイトの「ベビーカレンダー」は月間PVが3.1億を超え、会員登録者数は年間約36万人にのぼります。

そんなベビーカレンダーが運営しているメディアの脆弱性診断にSecurifyを導入いただきました。
情報システムグループの佐藤さん、緒方さんにお話をうかがいます。

診断サービス

• Webアプリケーション診断
• WordPress診断
• SaaS診断

課題と効果

――はじめに、御社の事業内容を教えてください。

緒方：我々は、「赤ちゃんの笑顔でいっぱいに　-A Sea of Smiling Babies-」をキーワードに、妊娠・出産に関わるすべての方の毎日を「便利に、ラクに」していくサービスを提供しています。
さらに、2021年より事業領域を拡大し、「赤ちゃんの笑顔でいっぱいに」から「女性の笑顔でいっぱいに」を新たなキーワードとして、妊娠・出産以外の女性が抱える課題を解決するサービスにも取り組んでいます。

主な事業としては、Webサイト「ベビーカレンダー」の運営があげられます。
その月間PVは3.1億を超え、会員登録者数は年間約36万人にのぼります。また、約40名の医師や専門家による監修のもと、妊娠・出産・育児に関する情報を網羅した、日本最大級の育児支援メディアとして機能しています。妊娠してから赤ちゃんが2歳になるまでの間、赤ちゃんの成長に合わせ、元雑誌編集経験者を中心とした20名以上の編集者が質の高い記事を毎日提供しています。

――お二人はどのような業務を担当していますか？

緒方：経営管理部の中にある情報システムグループに所属し、商用サービスのインフラ周りや社内SE業務などを担当しております。

今のツールは本当に自社に合っているのか？

――セキュリティ対策について、御社ではどのように取り組んでいますか？

佐藤：脆弱性診断ツールと脆弱性検知ツールを導入していました。脆弱性診断ツールは5〜6年前に導入したと記憶しています。
当時から新規サービスを立ち上げる際には、手動診断を受けることが一般的でした。しかし、サービスの数が増えるにつれ、毎回手動診断を実施する場合はコストが高すぎると感じるようになりました。そこで、他に良い方法がないかと探していたところ、調べた中で『自動で診断を実行してくれるツールがある』という情報にたどり着き、現行のツールを導入したんです。

緒方：弊社のWebサイトを運営しているメディア事業部の中の開発チームでは、新しいリリースがある際にツールを使用していました。しかし、うまく使い切れていないという自覚があったんです。

• 専門性が高く使える人が社内でも限られていた
• たくさんのメディアがある中でリリース前にのみ診断していた
• 診断項目数が少なすぎて診断としての機能に不安が残っていた

リリース時に脆弱性診断をおこなうことは実施していました。しかし、それ以外の場面では機能を十分に活用できているとは言えず、人手不足もあって運用自体が滞りがちでした。結果として、ツールを動かす機会が非常に限られ、最後に実行した記録を確認しても、かなり前のデータが残っている状態が続いていました。

このような状況から、現行のツールが自社に本当に合っているのか、また、私たちはそれを適切に使いこなせているのか、といった疑問を感じるようになりました。

――今回、Securifyで診断したWebアプリケーションの概要を教えてください。

緒方：先に説明したベビーカレンダーの他、ムーンカレンダー、ウーマンカレンダー、シニアカレンダー、そして、コーポレートサイトを診断しています。各サイトの特徴は以下の通りです。

• ムーンカレンダー
  20〜40代の女性編集者が記事を作成・編集しています。年齢とともに変化する女性の悩み・不安に寄り添った記事をお届けします！
  
• ウーマンカレンダー
  「ウーマンカレンダー」はオトナ女子によるオトナ女子のためのアンチエイジングサイト。40歳を過ぎて心と体の変化に戸惑い、悩むオトナ女子のために誕生しました。
  
• シニアカレンダー
  人生100年時代を、自分らしく元気に過ごしたいと願うシニア世代を応援するWebサイトです。日々の生活、健康や老後のことなどに悩む方や、自宅介護や老々介護、みとりなどの介護に関わる方に向けて、前向きに、イキイキと暮らしていくためのヒントを発信していきます。

佐藤：これらのサイトは一般ユーザーの個人情報を扱うこともあり、定期的な診断が必要だと感じていました。

脆弱性診断だけじゃない。Securifyでできること。

――数ある脆弱性診断ツールの中から、Securifyを導入いただいた経緯を教えてください。

緒方：情報収集のため毎年参加していたAWS summit JAPANの展示会でSecurifyのことを知りました。
今まで使用していたツールと比べて、運用しやすそうというイメージを持てたので、話を聞いてみることにしました。

――導入を決断いただいた理由は何ですか？

緒方：選定の理由として、まず操作性の良さを感じました。UIが非常に見やすく設計されており、操作が直感的で、全体的に使いやすさを強く感じました。開発チーム以外の人間も触れそうと思ったのが素直な感想です。

佐藤：現行のツールはSecurifyのように自動クローラーではなかったので、診断対象を回りきれているのか少し不安だったところもあります。あらかじめ検証レシピのようなものを作り、その中で反応が悪かった箇所を洗い出す形だったので、正直うまく使えているのか心配だったんです。

診断項目数が少なかった点も、Securifyなら約3,000項目の診断項目に対応しており、CVE単位での診断項目含め増加中と伺い心強く感じました。

――脆弱性診断だけでなくWordPress診断、SaaS診断の機能もご活用いただき嬉しく思います。

佐藤：これまで課題を感じていた「ムーンカレンダー」「ウーマンカレンダー」「シニアカレンダー」といったWordPressで動作するサービスについても、WordPress診断という機能が付随していた点が魅力的でした。各サービス内でページがどんどん増え続ける中、WordPress独自のセキュリティ対策に踏み切れないという点を改善したいと考えていました。

加えて、当社ではGoogleドライブを活用しているため、SaaS診断機能でその診断も可能であることが選定の決め手となりました。

WordPress診断をおこない、一部不要な設定が有効化されていることがわかったので、修正しました。WordPressは細かな設定が多く、複数の社員が触るので、手作業で確認していく手間が省け助かりました。

――実際に導入してみて、Securifyの使い勝手はいかがですか？感想を教えてください。

緒方：1ヶ月ほどPoC期間を設け、今まで診断ツールを使っていたメディア事業部の者にも触ってもらいました。彼らも使いやすいという感想を持ち、なかなか着手できなかったWordPressに対するセキュリティ対策もできるという点で好意的でした。

初期設定に関してもスムーズにドメイン設定までおこなうことができました。ただ、実際に動かす時に少し仕様の質問をさせていただいたのですが、すぐに確認いただき解決することができました。

ヘルプページもわかりやすかったです！外国製品を使うことが多く、ヘルプセンターページも英語の中を探していたので日本語というだけでかなり助かりました。調べたいことをすぐに見つけることができました。

現在は1週間に1回、定期診断機能を使って自動的に脆弱性診断をおこなっています。Slack連携により、関係者3名が診断結果の通知を受け取っています。今のところクリティカルな脆弱性は見つかっていませんが、もし発見された場合は私たちの情報システムグループで対応検討して、 解決できそうなものであればこちらで解決し、ソースコードなどの修正が必要であればチームに連携する流れになります。それらの対応も迅速に動けそうな運用になっています。

――Securifyの導入により、どのような効果を得られましたか？

緒方：導入後の効果としては、定期的なチェックをおこなう習慣ができたことが大きな成果です。
これまで定期的なセキュリティチェックを実施していなかったため、「特に大きな問題が起きていないから多分大丈夫だろう」という漠然とした安心感に頼っていました。
しかし、現在は定期的に診断を実施し、すべての項目を問題なく通過していることを確認できるようになりました。これにより、確信を持ってツールを運用できるようになった点は、非常に大きな変化だと感じています。

昨今、他社でも情報流出のニュースを頻繁に目にするようになりました。そのたびに、自社でもセキュリティ対策をしっかりと見直し、引き締めて対応していかなければならないと改めて感じています。Securifyでの定期診断を行いつつ、常にWAFのルール見直しなどを行い、セキュリティへの意識を高めていきたいと考えています。

「圧倒的な使いやすさ」が継続的なセキュリティ対策へつながる

――最後に、Securifyはどのような企業におすすめできると思いますか？

緒方：個人的に感じている魅力は、やはり「使いやすさ」にあると思います。弊社の場合、社員の大多数が編集部員で構成されており、ネットワークやセキュリティ関連を専門とする人材が非常に少ない状況です。また、そういった分野に詳しい人も多くはありません。
そのため、セキュリティに多くのリソースを割けない企業にとって、Securifyは非常に適していると感じます。

一方で、エンジニアが多く在籍する企業であれば、使いやすさよりも細かい設定が可能な製品の方が適している場合もあるかもしれません。細かく設定が必要な製品だと、独自の使い方や設定方法を覚える必要があり、マニュアルを参照しながら進めなければならないことがほとんどです。しかし、Securifyはドメインを登録するだけで簡単に設定が完了します。そのため、マニュアルに頼らず、スムーズに運用を始められる点も大きな魅力だと感じています。

「まずは迅速に導入したい」「誰でも簡単に使えることを重視したい」という企業には、Securifyが非常に便利で価値のある選択肢だと思います。

――佐藤さん、緒方さん、本日はありがとうございました！

導入０円、ワンストップで実現するセキュリティ対策「Securify」