脆弱性診断をトリガーに、社内セキュリティ意識向上を高める積極的なスタンス

連結会計に特化した「ソフトウェア開発」と「BPO」との両輪が強み

株式会社アバントグループのグループ企業の一員として、ソフトウェア開発を中心に行っているディーバは、長年培った連結会計・連結決算のノウハウを形にしたソフトウェアを開発し、情報開示を通じてユーザー企業の価値を高める製品を提供している。

製品群の核となるのは、連結会計・連結決算システム「DivaSystem LCA」だ。企業の連結会計や連結決算の会計業務を効率化するソフトウェア開発とサービス提供事業のほかに、同社のソフトウェアを活用した決算業務のアウトソーシング（BPO）事業を手がけている。「ソフトウェア開発とBPOを、それぞれ別個に提供している企業はほかにもありますが、当社の強みは、その両方を手がけている点です」と、村田氏は語る。

連結会計システムとして約1200社の導入実績を持ち、業界シェアトップを誇る同社のソフトウェアサービスを支えているのが、宮部氏・村田氏・高橋氏が所属するプロダクト開発本部だ。宮部氏は技術開発統括部 技術開発部のセキュリティグループとして、村田氏と髙橋氏はプロダクト開発統括部に所属するエンジニアとして、製品を支えている。

「セキュリティグループとして、ディーバで開発するすべての製品のセキュリティに関して責任を負っています。よりセキュアな開発を実現する観点から、開発部門と協調しながら製品のセキュリティ開発プロセスおよび開発標準のクライテリア整備、また検知された脆弱性の管理を行っています。今回の脆弱性診断では、SSTとのコミュニケーションの窓口を担当しました」（宮部氏）

「連結会計を行ううえで必要なデータ収集に特化した製品『DivaSystem LCA』の開発を担当しています。ユーザー企業社内の各所に散在している、Excel形式をはじめとするさまざまなファイルを収集しデータベース化するソフトウェアで、収集データは分析レポートとして活用可能になります。私は開発および保守問い合わせ対応を担当しています」（村田氏）

「村田が担当しているものとは別に、連結会計業務に必要な、人事情報など非財務情報も含めたデータの収集や連結業務を行う製品があります。私はそのソフトウェアの機能開発や保守を担当しています」（髙橋氏）

開発部とセキュリティグループの連携体制

 

 

ディーバでのセキュリティ体制は、セキュリティグループと開発部門との連携によって構築されている。現在の部署に所属する以前は開発部門に所属していた経験のある宮部氏は、開発部とのコミュニケーションおよび相互の役割分担について次のように語った。

「セキュリティグループでは、開発段階で検証・検出された脆弱性管理を含めた、製品のセキュリティ管理に対して責任を持ち、開発側は改修に対して責任を持ちます。セキュリティグループと開発部とが協力しながら、脆弱性を見過ごさず改修する管理体制をとっています」（宮部氏）

「具体的には、開発部門が新規機能開発に軸足を置きつつ、セキュリティグループがセキュリティプロセスの検討や、開発やスキャンで検出された脆弱性などのセキュリティ管理を担います。また、ディーバで開発している製品に対しては、自動ツールを使った脆弱性診断を実施しています。しかし、特にDivaSystemシリーズは、認証・認可の部分などのロジックが複雑なため、ツールでの診断には限界があり手動での診断も併せて実施する必要があります」（宮部氏）

クラウド移行に伴うセキュリティの責任範囲拡大と脆弱性診断の必要性

DivaSystemシリーズの歴史は20年以上前にさかのぼる。パッケージソフトとして誕生した同シリーズは、現在では社会の変化にともなってクラウド化し、サブスクリプション型のサービスへと移行が進んでいる。パッケージからクラウドへの移行によって、セキュリティの責任範囲が広がっていると話す宮部氏と、開発現場の村田氏と髙橋氏に、脆弱性診断の必要性についてうかがった。

「パッケージソフト時代から、新機能の追加に開発の主眼を置きながらも、セキュリティを含めた品質向上に努めてきました。現在はさらなる品質向上が求められており、特にセキュリティの担保も重要視されています。そのため、今まで以上にあらゆる面での品質を確認しながら、開発を前に進ませる必要性が高まっていると感じています」（宮部氏）

「製品に環境特有の脆弱性が無いのかどうかも気になっていました」（村田氏）

「ディーバとしては過去に他社のセキュリティ診断を何度か受けたことはあります。私が担当している製品においても、アプリケーションをローンチするときや、機能のリリースのタイミングなどといった節目で、外部の専門家による脆弱性診断を実施していました」（髙橋氏）

「SSTを選定したのはアバントグループのセキュリティ担当です。選定理由を確認したところ『SSTには確かな技術力を持ったスタッフが多く、ほかの診断企業と比べてサポート力が高く、診断も丁寧』と聞きましたので安心して依頼することに決めました」（宮部氏）

「ユーザー企業の非開示情報、特に会計データを取り扱いますので、認証や認可のないユーザーからデータを見えないようにすることが大前提です。整合性に誤りがあると意図と異なるデータが出力されてしまうため、整合性の確認についても細心の注意を払っています。SSTにも認証とロジックの2点について調査を依頼しました」（宮部氏）

10階層にもおよぶ精度の高いSST独自の画面遷移図に感動

 

 

ディーバの製品はユーザー企業の非開示情報、特に会計データを取り扱う。権限のないユーザーからデータが見えないよう、認証・認可周りは複雑な設計になっているという。加えて、整合性の設計に誤りがあればユーザーの意図と異なる誤データが出力されてしまうため、整合性の確認についても細心の注意が払われている。脆弱性診断を効果的に実施するには、診断を行う側もサイトの機能や遷移を理解する必要がある。そのため、SSTではすべての脆弱性診断を行う前に事前調査を行い、診断対象を選定し「画面遷移図」を作成し、お客様に提出する。また、予算に合わせて対象画面を決定するフローが欠かせない。このような複雑な設計の対象を診断する際に、ディーバの対応は迅速かつ的確であり、会計知識のないSSTの担当者もスムーズに事前調査から診断を行うことができたとSSTのメンバーは語る。

「SSTとのコミュニケーションは、半日以内に必ず回答が来たので『診断会社の対応はそういうものか』と思っていました。ところが上司に聞くと『やってくれない会社もざらにある』という話で『この回答の速さは普通じゃないんだ！』と思い直しました。丁寧に対応してくれるというのは評判通りだと思います」（宮部氏）

「以前、他社で脆弱性診断を行ったときは、DivaSystemシリーズの画面遷移図やAPI一覧は、当社側にて作成しているドキュメントを整理して、情報を提供する必要がありました」（村田氏）

「他社との大きな違いは、SSTは画面遷移図も一から作成してもらえて、こちらからの情報提供の手間が軽減でき助かる点ですね。診断にまつわる基礎的な作業からお任せできて、きめ細かく対応してくれたという印象です」（髙橋氏）

ディーバとSSTの相互の丁寧で迅速なコミュニケーションこそが、診断作業におけるスムーズな流れをつくっていたことが伝わる。

脆弱性診断報告書に見る“調査力の高さ”

脆弱性診断を実施した後に納品されるのが「脆弱性診断報告書やレポート」である。脆弱性診断報告書やレポートは、診断企業によってさまざまな形式がある。そこで、SSTの脆弱性診断報告書についてその評価と活用方法について探った。

「脆弱性への対策を社内で検討する際には、報告書で示された脆弱性を再現しなければなりません。問題箇所だけ提示されていると思ったのですが、SSTの報告書では、再現手順が具体的に記載されていたのが特徴でした。類似した検出箇所についても、改めて質問したらすべて回答いただけて非常に助かりました。画面遷移図と同様に、そこまで対応してもらえるのはまれだと思います。開発担当者には報告書を見せるだけで連携がとれ、脆弱性対応がすぐ進められました」（宮部氏）

「特に、認証・認可の部分では、権限の異なる複数のアカウントを提供し、非常に詳細な診断を受けました。多くのパラメーターが存在しますが、各パラメーターの意味を十分に理解した上で診断していただいたことが伝わってきました」（髙橋氏）

「脆弱性診断でこちらから提供したのは、製品の操作マニュアルだけで、特に製品操作のレクチャーなどはしませんでした。ところがその情報だけで、あらゆる状況やパターンで調査をしてくれました。診断書を読んだときには、ここまで発見できるものかと驚きました。レファレンス力というか調査力がすごいですね。これだけ理解していれば連結会計業務ができるのではないか、と思うほどでした」（村田氏）

診断サービスの精度を客観的に判断することは難しい面があるが、報告書に記載された詳細や細かさは、そのサービスの品質や信頼性を示す重要な手がかりとなるのではないか。さらに、ディーバでは定期的な脆弱性診断の実施とその診断報告書の読解により、社内のセキュリティ意識を向上させるという独自のスタイルについて伺った。

セキュアな開発環境の構築には、「振り返り」「トレーニング」「議論ができる空気」が必要

 

 

ディーバではセキュリティを観点として非常に重要視しており、セキュリティ意識をさらに向上させようという機運が高まっているという。よりセキュアな開発および製品・サービス提供を目指すために意識しているのが「振り返り」と「トレーニング」そして「議論が活発化する空気作り」だ。SSTの脆弱性診断がそのきっかけになっていると語ってくれた。

「新しい機能を追加する作業に集中し続けるなかでも、セキュリティが重要だという初心を振り返る機会として、診断報告書はいいきっかけになります。診断報告書に書かれているのは、自分たちが作った製品の脆弱性にほかなりません。見つかった脆弱性を修正するのはもちろん、脆弱性があったという事実を繰り返し共有して、振り返りながら勉強を続けていきたいと思います」（髙橋氏）

「診断結果以外にもヒヤリハットの事例をSSTから可能な範囲で共有してもらえたらうれしいです。自社以外の脆弱性の事例や事案を積極的に共有しながら、危機感に触れる機会があると、セキュリティを学ぶモチベーションも高まっていく気がします」（村田氏）

「セキュリティ意識向上の機運をサポートするべく、セキュリティグループが主体となってセキュリティ情報の収集を行っています。また自らの部門としてセキュリティ意識向上には、トレーニングを通じて脆弱性を知る経験とセキュリティに対して自由にディスカッションできる空気感が大切だと思っています。開発部門と協力して、日常的なコミュニケーションのなかでセキュリティの話題が出せる状況作りを進めることで、セキュリティに対する感度が高まり、製品がよりセキュアになっていくと考えています」（宮部氏）

 

 

---

 

株式会社ディーバについて

https://www.diva.co.jp/

株式会社ディーバは、『連結決算開示』に特化したソフトウェアベンダーであり、1997年の創業以来、連結会計システム「DivaSystem」の提供を通じて大手上場企業を中心としたお客様のグループ経営体制を支えてきました。現在は「企業価値向上に役立つ連結決算開示を普及させる」をミッションに掲げ、「グループ経営を支えるソフトウェアのデファクトスタンダードに」をビジョンに、専門分野に特化したソフトウェア製品とBPOサービスを提供しています。