FFR Raven 導入事例ソフトバンクモバイル株式会社ソリューションの概要プロフィールソフトバンクモバイル株式会社は、 iPhone のような製品の魅力やユニークなコマーシャル、きめ細やかな顧客対応などにより、年間純増契約者数のトップに立つなど、競争が激しい携帯電話業界を牽引する企業です。同時に、情報の安全・安心な利用が可能なサービスの提供を目指し、情報セキュリティへの投資、教育、運用を実践し続けている企業です。導入ソフトウェア FFR Raven http://www.ffri.jp/products/raven/ メリット ●ソフトバンクモバイルのもつネットワークサービス、そしてデバイスに対して、脆弱性検査を実施することで堅牢性を高める ●ネットワーク利用の多様化が進む中、機器の検証にかかるコスト負担低減と、検査精度の向上を両立 ●サイトライセンス契約により、製品開発の現場で十分に堅牢性検査を行える柔軟性ユーザーコメント当社は、携帯電話というライフラインを扱う企業として、ノンストップサービスをお客様へ提供しています。情報セキュリティは、全てのサービスの基盤として非常に重要な要素であると考えています。お客様へ提供するサービスが利用するバックボーンネットワーク、そしてお客様が使用される端末、それぞれが高いセキュリティ品質を備え、常にサービスを提供できることを目指し、本製品を活用してまいります。ソフトバンクモバイル株式会社技術管理本部ネットワークセキュリティ推進部監査課課長 CISSP, CISSP-ISSJP, CEH 深田大介氏お客様の立場にたって、日本の携帯電話市場のありかたを変えていく。それは、安定した、安全で安心できるサービスだけが実現できること。 2000万超える携帯電話の契約者数を誇り、常に新しい価値を提供し続ける企業がソフトバンクモバイルである。 2006年に携帯電話ビジネスへの参戦を果たし、コミュニケーションの新しいスタイルに着目し続けた企業は、製品とサービスの堅牢性にも注目を始めた。ソフトバンクは、ユニークなコマーシャルやダイナミックなビジネス展開、常に話題を提供し続けることが印象的な企業です。移動体通信、ブロードバンドインフラ、固定通信等、インターネットを活用し従来のコミュニケーションのあり方に、新しい提案を続ける企業です。政府が進める「光の道」構想に積極的に参画をし、利用者の情報インフラのあり方を考え、提案し、次々と実現をしてゆく原動力は、企業のビジョンでである「デジタル情報革命を通じて、人々が知恵と知識を共有することを推進し、企業価値の最大化を実現するとともにソフトバンクモバイル株式会社人類と社会に貢献する」という言葉に現れています。導入の背景とねらい 1981年に創業してから30年を経て日本を代表する企業に成長したソフトバンクは、「情報革命で人々を幸せに」を「ソフトバンク新30年ビジョン」の凝縮したメッセージとしました。この壮大なビジョンを実現するためには、「お客様に安心してお使いいただける、安定したサービスを提供するため、地道な努力を欠かすことはできない」と語るのは、ソフトバンクモバイル株式会社技術管理本部ネットワークセキュリティ推進部監査課課長の深田大介氏です。深田氏が率いる監査課は、ソフトバンク通信3社が展開する商用サービスの、ネットワークおよび機器に対する脆弱性検査を行う部門です。サービス信頼性の向上と、安全性の確保を行うという、サービスの要となる重責を担っている同氏は、深田大介氏「私たちの仕事は、少ない人員ながらも、日々ソフトバンク通信3社間のコミュニケーションをとりつつ、サービスの安定化のために技術を磨いています。ソフトバンクは、セキュリティ品質に対する目標を明確に掲げており、その目標を現実のものにするために、具体的な解決策を常に模索しています。」と、気負いなく答えられます。導入に至った経緯脆弱性が内在した状況でネットワークサービスや機器がお客様に提供された場合には、結果的に不利益を被るのはサービス利用者であり、このことが顧客離れや新規顧客の獲得に悪影響を及ぼすことは想像できる事態です。そうしたビジネスリスクを、事前に解消するための活動を推進することが、同氏が率いる監査課の仕事です。一般に広く利用されている製品は、多くの研究者が脆弱性の発見を試みますが、独自に開発されたネットワーク機器などに内在された脆弱性は、自ら発見しなければならない難しさがあると同氏は考えています。「脆弱性の診断は、短ければ数時間、長ければ数日の時間を要します。可能な限りの効率化と脆弱性検査の精度を維持する、このバランスがとても重要です。検査時間を短時間に終わらせ、脆弱性の発見も確実に行ってゆける、それが理想ですね。」という同氏の言葉は、未知の脆弱性を発見する作業の難しさが垣間見えます。今回、発表間もない「FFR Raven」の導入を決めた理由は、これらの課題への挑戦の表れでもあります。深田氏は、「FFR Raven」導入の理由をこのように語ります。「FFRI社については、以前よりメディア等でも名前を見かけましたし、著名なエンジニアが在籍する企業ということは知っていました。そこで、ソフトバンクモバイルが展開するサービスで利用しているいくつかの機器において、脆弱性診断をFFRI 社へ委託してみたところ、脆弱性の発見もさることながら、脆弱性レポートが秀逸でした。脆弱性発見手法を伺ったところ、「FFR Raven」のプロトタイプで検査を行ったことを知り、興味を持ちました。」従来の脆弱性検査は、既知の脆弱性がシステムに残存していることを検証することを指していますが、「FFR Raven」は、機器に内在する未知の脆弱性に繋がる問題点を発見する製品です。マーケットに広く提供される製品に対する脆弱性検査はもちろん、社内で利用される、もしくは非常に限られた範囲で活用される機器に対しても、一定の精度で検証が可能。かつ検証に必要な時間も大幅に短縮できる点も、ソフトバンクモバイルが導入を決定した理由です。」本製品の感想「FFR Raven」を使用した感想として、深田氏はこのように話しています。「この製品を利用してみて初めに感じたことは、非常に簡単に利用できることです。ユーザーフレンドリーなので非常に簡単な操作で検査を行えることは、大きな魅力です。また、自社のCPE、組み込み機器など検査対象を選ばないことも、評価できます。」製品としての魅力もさることながら、価格が他社の同様の製品と比較してかなり抑えられていることも、利用者としてはうれしい提案だった模様で、「何しろサイトライセンスで、誰でも利用できるというのは、最大のメリットではないでしょうか。」と、コストメリットも評価します。導入してから、既に新しい脆弱性の発見も経験し、今後は脆弱性の絞り込みを自動化できることを期待する、といった要望をお持ちです。今後の展望深田氏は、監査課が設置されてから、脆弱性診断の重要性が社内に認知され、設計・開発・運用等に関わる社員が対策の必要性を理解でできるようになったと語ります。「この取り組みは前任者から始まったもので、完全なボトムアップで開始されました。企業で脆弱性診断を実施するためには、現場から問題意識を持つことが重要ではないでしょうか。」という言葉からも、ソフトバンクのユーザー目線での品質向上活動が読み取れます。今後「 F F R R a v e n 」は、組込機器・ネットワーク機器の取扱を中心としている部門への配備を行い、その各部門にて検査ができるような体制で利用するように考えられているとのことです。「開発部門が自分たちで脆弱性検査を行うことで、我々監査課が差し戻しをするようなケースが減少することを期待しています。後戻り作業は、非常に効率を悪くさせてしまいますから。」と、品質の確保と効率性を高める目的である一方で、「脆弱性検査を行うことで、現場の脆弱性への理解も高まることにより、一歩進んだ品質向上活動にもつながると考えています。」と、社内の意識向上の機会にも日々の業務が役に立つと語ります。「FFR Raven」により脆弱性発見のノウハウが蓄積され、一歩進んだ「ソフトバンク品質」が実現されることが、ユーザーの満足度を高め同社が成長を続ける原動力となりそうです。導入事例に記載された情報は初回掲載時のものであり、閲覧・提供される時点では変更されている可能性があることをご了承ください。導入事例は情報提供のみを目的としています。当社は、明示的または暗示的を問わず、本内容にいかなる保証もいたしません。製品・サービスについてのお問い合わせは株式会社ＦＦＲＩ〒150-0013 東京都渋谷区恵比寿1-18-18 東急不動産恵比寿ビル4階 TEL : 03-6277-1811 E-mail : [email protected] 本製品に関する情報はインターネットでもご覧いただけます。 http://www.ffri.jp/ ■このパンフレットの内容は改良のために予告無しに仕様・デザインを変更することがありますのでご了承ください。 2013年6月現在 Ver 2.00.04