HOME > お知らせ > 導入事例紹介 > ヴェルク株式会社様

導入事例紹介

ヴェルク株式会社様

ヴェルク株式会社

総務省の「令和2年 情報通信白書」によれば、企業におけるクラウドサービスの利用率は2019年では64.7%となった。前年の58.7%から6.0ポイントの増加となり、その勢いは衰えることを知らない。ヴェルク株式会社の提供するクラウド型業務・経営管理システム「board」も2014年のリリース以来、クラウド(SaaS)市場の伸長とともに利用社数を増やし、現在では有料登録社数が3,400社以上を超えるまでに成長した。同社では「board」のリリース時からクラウド型WAF「Scutum」を導入し、エンドユーザーが抱える不安の解消につなげたと語る。「Scutum」導入の経緯と合わせて、小規模ながら多数のエンドユーザーを抱える企業に求められるセキュリティについて伺った。
※本取材はオンラインにて実施しました。

規模 セキュリティ担当者 業種 導入対象
1~50名 いる インターネットサービス SaaS/ASP/Webサービスサイト
課題
  • 運用負荷を下げたい
  • コストパフォーマンスの良いセキュリティ対策を探していた
  • セキュリティーポリシーを強化したかった
  • 預かっている個人情報の保護
決め手
  • 導入が容易
  • サポート対応の速さ・充実さ
  • 防御ルールのチューニングが不要
効果
  • 会社の信頼性が向上した
  • サポートの質の高さに安心できた
  • 脆弱性にもいち早く対応してくれる
ヴェルク株式会社 代表取締役 田向 祐介 様

ヴェルク株式会社
代表取締役
田向 祐介 様

求めていたのは「自社での運用」と「導入設定の作業」を省けるWAF

「board」リリース時からのWAF導入を検討された経緯をお聞かせください。

「board」はバックオフィス業務とその周辺業務を効率化するツールで、利用される企業・個人の売り上げ数値や顧客情報も扱うため、セキュリティを気にされる方は当然多くなります。「board」がスタートした当時はクラウドで業務を行うこと自体がまだ一般的ではなかったこともあってクラウド(SaaS)に対する心理的障壁が想定されました。それまでローカルのExcelや販売管理ソフトで取り扱っていたデータをクラウドに乗せるわけですから、ハードルは高いですよね。その不安を抑えるためにも、情報漏えいやサイバー攻撃対策をしっかり行っていると公言できるように、セキュリティ対策は初期から重要視していました。どこから行うべきかは、さまざまな意見があると思いますが、バグとして脆弱性が発生しやすいアプリケーションレイヤーを最初に対策すべきと考え、WAFの導入を検討しました。

「Scutum」を選ばれた決め手は?

導入に当たって、2つ避けたいことがありました。1つは「自社でのWAF運用」です。WAFの運用を継続的に、適切に行う自信はなかったためです。もう1つは、導入するタイミングが「board」のリリース直前だったため「導入設定の作業」を発生させたくありませんでした。この2つの条件を満たすのが「Scutum」でした。

「セキュリティ割引」で安全なログイン認証利用者が約7倍に

ユーザーの心理的障壁を取り払うために、ほかにどのようなことをされていますか?

一般的にはPマーク(プライバシーマーク)やISMS(情報セキュリティマネジメントシステム)の取得で安心を担保しますが、私たちは小さな会社でそういった認証がないので、ユーザーさんから見れば不安でしかないと思うんですよ。10人程度の企業にとっては、取得の手間と有効性の釣り合いがとれないので取得していないものの、しっかりとしたセキュリティ対策を講じているとユーザーに伝えないと「えたいの知れない小さな会社のサービス」と見られてしまいます。それを防ぐためにも導入しているセキュリティサービスは「boardのセキュリティ対策」というページを設けて、具体的な対策をすべて公開しています。

「セキュリティ割引」という、珍しい施策も行われていますね。

「セキュリティ割引」のアイデアは何年も前から持っていて、いつか実行したいと考えていました。最初に、「board」でシングルサインオンを導入したときには、サインオン方法を限定できるようにしたり、また2段階認証を必須化にするといった、事前準備としての機能を段階的に実装していきました。ただ機能実装時にユーザーへお知らせしても、最初はセキュリティ意識の高い人たちだけが使っているという印象で、すぐにシングルサインオンや2段階認証を使ってくれる人は、まだ少なかったです。そして、2020年の6月から「シングルサインオンのみ」または「2段階認証を必須」の設定を1カ月間継続した場合、次回決済時に決済金額を5%OFFする割引施策を始めました。

「セキュリティ割引」の効果の程は?

いいきっかけになったようで、「セキュリティ割引」導入後の8カ月で、「シングルサインオン」「2段階認証」の利用者は約7倍に増えました。機能リリース後、すぐに反応できる人は「セキュリティの強化」をメリットと捉えてくれる人たちだったと思います。そこに加えて「割引」という、誰もが分かりやすいメリットが増えたので、幅広いユーザーへの後押しとなって、期待した通りの効果が現れたと思っています。

セキュリティを重視する企業姿勢は、どのように培われたのでしょうか。

私たちのような小さな会社で重大なセキュリティインシデントが発生したら、サービスも会社も吹き飛んでしまう可能性があります。そのため、起業の初期から、セキュリティが大切だという意識は根付いていました。たとえば、10年前の起業当初から、社員全員で「1Password」でパスワードを管理して、使い回しを禁止したり常にランダムな文字列を使ったり、2段階認証に対応したサービスでは必ず2段階認証を使うといったルールを徹底していました。セキュリティが大事だとは誰もが認識しているとは思いますが、一時の頑張りでは防げないときは防げないという意識も念頭に置いています。やっておくべき対策を企業レベルでも個人レベルでも継続してしっかり行い、時代とともに運用レベルを引き上げていく必要があるという考えでこれまで続けてきました。

セキュリティにおける今後の課題と、その対策をお聞かせください。

情報セキュリティの脅威はこれからもずっと高まり続けます。「board」でも一時期Botによる会員登録が急激に増え、その対策としてreCAPTCHAを導入したことがありました。このような突然発生する新たな脅威に、常に対応できるだけの知識とリソースを確保することはずっと続けていかなければならないと考えています。また、セキュリティは専門家に頼ろうというスタンスで、外部の専門家をセキュリティ顧問として契約し、定期的に相談したり、私のTwitterのリストに「セキュリティ」というリストを作って専門家のアカウントをウォッチしたりしています。インシデント情報などは割とよくTwitterから拾って社内に共有します。SSTの方のアカウントも「セキュリティ」リストに入っていますよ。

「セキュリティをどこまで追求するべきか」という問題に対してはいかがでしょうか?

大企業では一律的な仕組みで防ぐしかない部分があると思いますが、小さな会社でガチガチにやり過ぎても仕事が進めにくいですから、顧問の方にも、「10人の会社でどこまでセキュリティをやるべきか」というトピックでよく相談しています。小さな会社のいいところは一人一人のセキュリティに対する理解度などもよく分かるし、目が届かないこともないので、仕組みでの予防が効果的な部分は仕組みを作り、かつ、仕組みだけに頼らないよう、ある程度柔軟性のある対応を試行錯誤しながら模索している最中です。

また、セキュリティ対策は、多層防御という言い方が適切かはわからないのですが、1つのミスやバグがインシデントに直結しないようにしていくことが重要だと思っています。たとえば、アプリケーションの脆弱性のテストはしつつ、Scutumを導入する、といったかたちのように。そういう視点で、整備・強化をしていっています。

長期利用で気付いた、「Scutum」の導入効果とは

「Scutum」の導入効果を教えてください。

「Scutum」があってよかったと実感したのは、2014年のSSL3.0の脆弱性(POODLE)が問題化したときです。主要なフレームワークの大きな脆弱性のようなものはこちらでもすぐ対応していますが、「Scutum」でもすぐにブロック対応をしてくれています。実はWAFの導入時には、そのメリットはまったくイメージしてなかったんです。例えば、XSSとかSQLインジェクションとか、自分たちのアプリケーションの脆弱性を防ぐものというイメージだけでWAFを捉えていて、「Scutum」があることでフレームワーク自体の脆弱性が発覚したときにも、瞬時にそれを悪用した攻撃をブロックしてもらえる可能性があることに後から気がつきました。予期せぬ新たな脆弱性に対しても安心感が得られるのは、とても心強いですね。

ほかに、導入後に感じたことはありましたか?

WAFの性質上、誤検知はどうしても発生するだろうとは思っていましたので、そういう問い合わせがあったら、どう対応しようという心づもりは少なからず持っていました。ところが実際のところ、この6年間で数回あった程度で、それもすべてScutumの問題ではなくこちら側のアプリケーション的な問題でした。

「Scutum」に対する要望があればお聞かせください。

「Scutum」は非常に安定していて、WAFとしての不満はまったくないです。例えば、ふだんと違う攻撃の増加あるとアラートが届くような、異常検知の通知があるとすごく助かりますね。ブロックされるだけだと変化が把握できないので、攻撃の傾向変化が分かるとエンジニア視点としてはありがたいです。

先ほどお話しいただいた、セキュリティ対策を公表される意識と通じますね。

まさにそうですね。「WAF Tech Blog」をよく拝見していますが、表面的な「セキュリティが大事」といった話ではなくScutumの技術開発社である金床さんが技術的な機序についての情報をしっかり書かれているので、「Scutumは、内部の技術者がしっかりやってくれている」ということがエンジニアである私にも伝わってきて、使えば使うほどに信頼性が高まっていきました。

■ ヴェルク株式会社様 ご紹介

ヴェルク株式会社様

2010年12月に創業し、当初はiOSアプリの自社開発やシステムの受託開発を中心に行っていたが、2014年8月にクラウド型業務・経営管理システム「board」をリリース。有料継続率は99%を超え、現在では有料登録数が3,400社を突破するまでに成長を遂げる。Webアプリケーションの受託開発やBigQuery・Tableauを使ったデータ分析やAWS導入などの技術支援を行っているほか、2020年11月からは大阪大学 高等教育・入試研究開発センターと共同研究を開始するなど、活動の幅を広げている。