ImmuniWeb導入事例 竹中工務店|HITSERIES®TLPT
2023/12/27
ImmuniWeb®︎ |イミュニウェブとは
企業オープン化のセキュリティリスク対策に。AI脆弱性診断なら従来手法と比較し、期間1/3、費用1/3を実現
※ImmuniWebは2019年から日本に進出し、導入は5年間で800社を超えるスピードで展開してきました。竹中工務店様が日本国内初のImmuniWeb公式公開事例となります。
Before 導入前の課題
●システムをオープン化するにあたり、セキュリティリスク対策の課題があった
●システムの脆弱性診断に時間がかかることが多く、その分利用開始が遅くなることが難点だった。
●システムの脆弱性診断に要するコストの低減も課題であった。
After 導入後の効果
●ImmuniWebによってシステムの脆弱性診断の工期が約1/3と短くなり、システムに関係するすべての業務がスピーディに進むようになった。
●ImmuniWebの脆弱性診断コストは従来比概ね1/3で、経費削減につながり、NIST SP800-171に沿って策定された社内ガイドラインを理想だけでなく、実践できるようになった。
●診断終了後の報告会での結果説明や、こちらからの質問に対して的確な回答をしてもらえることで、システム担当者からも信頼が得られた。
導入ソリューション
HITSERIES®︎TLPT
-ImmuniWeb®︎OnDemand
-ImmuniWeb®︎MobileSuite
ImmuniWeb導入インタビュー
竹中工務店では、デジタル変革を加速する「建設デジタルプラットフォーム」をはじめとしたさまざまなクラウド活用環境を構築している。外部パートナー、コラボレーター向けのシステムやAPIを公開し、同時に外部と繋がることで、より効率的で親和性の高いシステムを構築。これはオープンなシステムであるがゆえにサイバー攻撃を受けやすいというリスクも高まる。そのリスクを回避するためにAI脆弱性診断のImmuniWeb®︎AI Platformを導入。ImmuniWeb®︎も竹中工務店と同じく、オープンソース、コラボレーションを設計理念としており、ImmuniWeb®︎Community Editionの無料版ツールは2018年のリリース以来グローバル累計で3億件の実績を持っている。国際脆弱性規格であるCVE、CWE/SANS、リスク評点規格であるCVSSや、OWASPなどの業界団体規格、MITRE、NISTなどの米政府規格に準拠しており、ImmuniWeb®︎AI Platformが初めてリリースされた2018年には国際連合加盟国193カ国の政府Webサイトでの使用が推奨され、現在では有料版のImmuniWeb®︎AI Platformは60カ国の顧客を有する。日本におけるサービス提供は2019年からで、2023年12月現在で累計で国内850件以上の有料診断実績を持つ。TANAAKKはImmuniWeb社創業当初からのパートナーで、ImmuniWeb社のBoardAdvisorとしても活動している。
見積もり比較最大 -90% DOWN
※株式会社竹中工務店の脆弱診断見積もり実績
業務効率化のためオープンなクラウドシステムが求められる反面、サイバー攻撃リスクの懸念も高まりました
鈴木 竹中工務店は1610年に創業して以来、建築工事を専業としています。創業時は寺社仏閣の造営を行ってきましたが、明治以降は近代建築を手掛け、以来、東京タワー、あべのハルカスなど都市のランドマークとなる作品を数多く手掛けさせていただいています。それでも宮大工の棟梁としての精神を受け継ぎ、建築の専門家として、お客様第一主義を貫いてきています。現在では「工務店」という名称が広く使われていると思いますが、国内で初めてその名称を使った会社になります。
長島 その竹中工務店様もDX化の流れの中で、様々なクラウド環境を整備されているのですね。
現在、竹中工務店では「建設デジタルプラットフォーム」をはじめとしたさまざまなクラウド環境を整備しています。この「建設デジタルプラットフォーム」は「つながる・つなげる」プラットフォームです。外部パートナー、コラボレータ―向けのシステムやAPIを公開し外部と繋がることで、①お客様の課題解決と事業機会の創出、②圧倒的なお客様満足を生み出すものづくり、③建築とそのプロセスでのサステナブルな価値の提供とリアルタイムの情報共有を可能にしています。
利便性を感じていただく一方で、ユーザーの皆さんには安心して利用してもらえるように、安全なシステム、APIを公開する責務があり、セキュリティ診断は必須でした。こうした対策を考えるうえで、当社では、アメリカ国立標準技術研究所(NIST)のサイバーセキュリティフレームワークをベースにセキュリティ戦略を立案し、同じくNISTのSP800-171といったガイドラインをベースに社内の規程やガイドラインを整備し、具体的な対策や実施ルールを定めています。
システムのセキュリティ診断は、公開アプリケーションのリリースに付随するセキュリティ対策として位置づけ、実施をルール化しています。
また、ベンダーに言われるがままセキュリティ投資をしているとコストばかりが増えてしまうため、場当たり的な対応ではなく、計画的なガイドラインや調達方針をもつ必要がありました。
長島 システムの全ての脆弱性診断を行う場合、エンジニア工数が発生するため費用が高額になり、検査期間・レポート納品期間も長期化します。また、エンジニアのスキルセットにより診断サービスの品質に差が生じます。
その点、ImmuniWebは機械学習を伴うAIアルゴリズム検査によるヒューマンコストの削減。数百台のサーバを同時稼働させることで、1日あたり10万件でも検査ができますので工期短縮、早期納品が可能です。品質の高さはもちろん、工程のシンプル化やオートメーションの工夫が凝らされています。
ImmuniWebでは診断作業を、①ソフトウェア、②AIテクノロジー、③ヒューマンインテリジェンスの3つに分類しています。
ImmuniWebは毎日15万件をこえるWebサイトやモバイルアプリに関するインフラストラクチャ情報を無料公開のCommunityEditionで収集しており、リアルタイムで発生するサイバー攻撃と、リアルタイムでどのようなシステムが使われているかの統計情報を用いることで、これまで専門家の経験や勘所に頼ってきた脆弱性診断作業の90%削減を可能としました。競合製品より3倍のスピードで、3倍やすく(コスト3分の1)、高品質なテストを提供することが可能となっています。2019年度より毎年、本年2023年度も各種セキュリティ評価機関により最優秀賞を受賞しています。
AIにより人的業務の多くを自動化したことで 、より早く、より安く、より高品質な、脆弱性診断を実現しました
鈴木 セキュリティ診断の実施をルールとして定めたものの、実際には、どのベンダーに見積もりを取っても、かなりの費用とともに、時間という目に見えづらいコストがかかっていました。どのベンダーでも着手まで1〜2ヶ月、再診断まで含めると合計で3〜4か月の期間がかかる状況でした。特に12月末、3月末の年度末に駆け込みで診断を受けてくれるベンダーは現在でもほとんどありません。これは、まだ規模の小さなリリース間際のシステムには大きな負担となっていました。
長島 従来型の脆弱性診断は、日本市場の人数の少ないセキュリティスペシャリストに大きく工数を依存するサービス提供方法でした。そのため、診断対象範囲の見積、相見積や受発注、検査、誤検出チェックと報告書作成まで、少なくとも3カ月は診断期間が必要となり、開発リリースを延期せざるをえないため、スピード感のある開発・リリースを行うにあたって課題となっていました。
一方、ImmuniWebは、コーポレートサイトやEコマースサイト、ソーシャルメディア、ネットバンキングなどのWebやモバイルアプリケーションを最大252台(2023年12月現在)のAI学習済みのサーバで並列処理することで、従来3〜4カ月以上必要とされていた脆弱性診断を「見積から報告書納品」まで、アプリの大小に関わらず、5~15営業日で完了させることが可能となり、柔軟な開発、リリースのお力添えをさせていただいております。12月末や3月末の駆け込み需要にも対応することができますし、ご担当者様には「はやい、やすい、うまい(高品質)」を実感していただけていることかと思います。
規模の小さなリリース間際のシステムには、脆弱性のセキュリティ診断は費用と期間が大きな負担となっていました。しかしImmuniWebを提案されると、これまで見積もりを取ったベンダーと比較して、費用が約1/3~1/10の価格、当社側の調整を合わせても1〜2週間で着手開始。修正・再診断まで含めても1ヶ月弱で完了しました。この点に関するシステム担当者の満足度も高かったです。
また、診断の精度についても、ImmuniWebはAIを効果的に活用することで、診断対象ページ数や診断項目を、一般的な診断ツールの数倍、対応できるとのことでした。その点で、診断の品質面でも安心できました。
AIによる学習が繰り返されることにより、OWASPなどの主要な診断項目はもちろん、米国の機関が公表しているよく狙われている最新の脆弱性なども診断対象となっているのが、より安心できました
オープンプラットフォームを今後拡大させるために、セキュリティのAI活用は必須です。
弊社では2020年よりImmuniWebを利用開始し、2023年の本年は診断の際の標準とすることで、社内ガイドラインに基づいて計画的なセキュリティ調達が実施できるようになりました。費用と期間がリーズナブルかつ、見通しが立てやすいことで、見積もりを取ってみるまで状況がはっきりしなかったセキュリティ診断が、明朗になりました。
また、セキュリティ診断においてAIを活用している点がImmuniWebに興味を惹かれた点だったのですが、報告会における診断担当者の知見の深さも良かったです。こちらの確認したい点を質問するとスムーズに質疑応答していただき、TANAAKKの技術力の高さを感じました。また、診断レポートで各種基準や診断項目への準拠状況がわかったり、レポート自体は英語なのですが、診断担当者により説明と指示事項が具体的かつ分かりやすく翻訳されており、開発側としても修正をスムーズに取り組めました。
さらに、ISMSを取得していたり、経済産業省の情報セキュリティサービス基準(SSS)に登録されているなど、安心感があり、社内や開発者への説明もしやすかったのも担当者としてありがたかったです。
長島 TANAAKK自体も、2019年にImmuniWebを本格採用する以前はオープンソースソフトウェアを使った、エンジニアの手作業による時間のかかる脆弱性診断手法を採用していました。現在ではガイドラインや組織を整備し、計画的なセキュリティ調達が可能になりました。基本的な防御は24時間モニタリング。定期的な検査のスピードも数週間で済むようになりました。脆弱性診断関連コストは1/3に削減されました。
今後も「建設デジタルプラットフォーム」で「つながる・つなげる」ためのアプリケーションは増えていくと考えています。またゼロトラストが進む中で、社内・社外の区別もあまり意味が無くなっていくとも思います。
そうした中で、社内システムを中心とした診断対象システムの拡大、定期セキュリティ診断の自動化、ペネトレーションテストベースのより高度な診断を今後の課題として考えています。中でもサイバー攻撃の24時間モニタリングは興味があります。こうした課題に取り組むことで、安全・安心なシステムの提供により、お客様の課題解決につなげていきます。
青木 グループセキュリティを横串で管理するということは理想ではありますが、クラウドとオンプレミズが交錯するサイバーフィジカルセキュリティの実態は、各事業範囲の遵守法令対象や個人情報の定義や遵守法令対象が違う中で、契約上顧客や事業パートナーとどこまでの責任分担をすべきかが不明瞭であり、事業に応じた個別判断が必要です。弁護士や制度専門家だけでセキュリティのあるべき姿を議論してしまうと、目に見えない理想や概念だけが先行してしまい、実際に運用する企業の求めるコストやROIとかけ離れてしまいます。一方AIエンジニアやシステム専門家だけで会話をしたとしても、最新のシステムが増えていくだけで、原理原則から必要最低限でグループ標準化された調達をするという経営的な観点が抜けていきます。
この分野をまたがった問題解決が必要とされる課題はTANAAKKのセキュリティチーム、エンジニアチーム、弁護士チームが得意とする領域です。ImmuniWeb創業者のDr. Ilia Kolochenkoもホワイトハッカーの経験があるだけではなく、アメリカワシントンD.C.の弁護士資格や大学教授のポジションを持ちながらImmuniWeb社を経営しています。
新規事業でベンダーに言われるがままセキュリティ投資をしていると、コストばかりが増えてしまうことに懸念があるという点は我々のお客様ではよく聞く意見です。場当たり的な対応ではなく、計画的な社内の法整備の元、ガイドラインや調達方針を実現するために必要なツールキットをTANAAKKとImmuniWebが提供できると考えています。
導入企業概要
企業名 | 株式会社竹中工務店 |
本社 | 大阪市中央区本町4丁目1-13 |
設立 | 1610年(慶長15年)創業、法人設立1937年(昭和12年) |
従業員 | 7,751人(2023年1月現在) |
事業内容 | 建築工事及び土木工事に関する請負、設計及び監理等 |
URL | https://www.takenaka.co.jp/ |
ImmuniWebについて
ImmuniWebは2019年より国内販売が開始され、グローバルでは1日に10万件のAI診断が無償で提供されています。2019年から通算で国内800社のWEBサイトやiPhoneアプリ、Androidアプリの有料検査を提供しており、従来手法に比べて圧倒的なスピードとコストで高い顧客満足度とリピート率を誇っています。
ホワイトペーパーダウンロード
導入事例PDFダウンロードはフォームより