ゼロから築いた信頼と成果
―セキュリティ脆弱性診断チームの挑戦

Story
プロジェクトメンバー
1996年入社
安樂 啓之

ビジネスソリューショングループ所属。ウェブアプリケーションの脆弱性診断サービスの立ち上げ、企画、開発案件等への導入相談を担当。


2008年入社
橘 大輔

ビジネス企画室所属。サービスの立ち上げを主に担当し、セキュリティ診断士として企業のコンサルとウェブアプリケーション脆弱性診断を行う。


2023年入社
大蔵 海斗

ビジネスソリューショングループ所属。セキュリティ診断士としてウェブアプリケーション脆弱性診断を行う。


プロジェクト概要

セキュリティへの高まる関心を受け、インフォテックは新たな挑戦に乗り出した。それは、「ウェブアプリケーションの脆弱性診断サービス」という前例のないサービスをゼロから構築することだった。ベテランと若手が協力し、課題を克服しながら顧客の信頼を獲得するまでの奮闘の日々を語ってもらった。


プロジェクトの背景
社内初のセキュリティサービス開始の背景

安樂:インフォテックでは、これまで既存のお客様から「セキュリティ診断はしていないのか」と問い合わせがあった際、当社では対応が難しいので他社のセキュリティサービスの利用をお願いしていました。セキュリティサービスが開始に至った経緯は、インフォテックが開発・販売しているアプリケーションサービス(つなかんたん)をリリースしたことがきっかけでした。サービスリリースにあたって、セキュリティ面の強化が課題として挙がりました。


大蔵:私は今回のプロジェクトのキックオフのタイミングで参加したので、それは知りませんでした。


安樂:今回のセキュリティ診断サービスのリリースに関しては、その(つなかんたん)後です。既存のお客様や市場のセキュリティへの意識が高まり、お客様のサービスリリース前に脆弱性診断をやりたいというお声を多くいただくようになりました。インフォテックはこれを商機だと考え、外部セキュリティ診断ツール「Securify」を導入することを決定しました。


:Securifyはウェブサイトのアプリケーションや環境に対して脆弱性の検査をするサービスです。Securifyはお客様に対してトータルな支援が実現できるので、インフォテックの強みとも合致していました。


安樂:この特性にセキュリティ診断士による改善案を添え、開発メンバーに伝達し、問題点を直してお客様に提供することがインフォテックのサービスとなります。セキュリティサービスまで付随したサービスを提供する競合他社はほぼないため、大きな差別化になると確信していました。


大蔵:以前はセキュリティ専門の会社を紹介していたため、お客様にとっては二度手間になっていました。それが、インフォテックと契約するだけで一気通貫のサービスを受けられるようになったので、お客様にとっても有難いサービスだと思います。


直面した課題・やりがい
新サービスに立ちはだかる壁 ― それは説得力のあるエビデンス

安樂:今回の一番の難関は間違いなく新規事業の立ち上げのフェーズでしたね。実績もない新しいサービスなので、お客様にどのようにしてインフォテックの提供する「脆弱性診断サービス」が十分だと示せるか。クオリティをどのように証明するのか、が一番の壁でした。そこで活躍してくれたのが橘さん、大蔵さんですね。


:この事業の話が来る前までは、セキュリティに対して一定の理解はあるものの、クオリティを証明するためには不十分でした。そのため、私と大蔵さんは安樂さんと相談し、セキュリティ診断士の資格を取ることにしました。インフォテックの一事業の命運がかかっていたので、大きなプレッシャーとやりがいを感じましたね。


大蔵:私も当時は社会人1年目だったので、これほどの大任を担えることに驚きとプレッシャーを感じていました。ただ、安樂さんや橘さんの指導の下、安心して実践を積むことができました。


安樂:お2人が資格を取ってくれたおかげで、プロジェクトの土台も大分固まってきました。あとは、インフォテックのサービスの質をどのようにお客様に証明するかです。そこで私たちは、自社内で受けている他社のセキュリティのサービスの診断結果を、改めてSecurifyに加え、橘さんと大蔵さんの診断を通して、再チェックしました。その結果、ほぼ同じ診断結果を得ることができました。それをお客様に伝えることで、ほとんどのお客様が導入を前向きに検討してくれるようになりました。


安樂:ただ、エビデンスを伝えて納得してもらった次は、決裁者にセキュリティ対策の必要性について認識してもらうことが壁になりました。


:セキュリティ診断は多大な費用がかかり、直接的な利益を生まないため、費用対効果が重視されがちです。テストを受ける必要がそもそも必要なのか、テストを受けるだけで本当に十分なのかといった議論が出てきます。現場から報告を受ける経営者は、現状大きなセキュリティの問題がなければ、導入するメリットや将来のリスクなどがピンと来ません。そこで私たちはお客様の現場と決裁者との間に立って通訳のように橋渡しする役割を求められました。


案件を通して得た学び
インフォテックだからこそ得られた成長

安樂:このプロジェクトは、エンジニア歴の長い私にとっても新しい挑戦で、学びが多くありました。一つのサービスをゼロから作り上げる経験は初めてで、新規事業の立ち上げには予想外の事態が多々ありました。しかし、その過程得られた達成感と成長は大きいです。これまでにない新しい形のサービスを顧客に提供することで、会社の価値をさらに高めることができると確信しています。


:私は、安樂さんとは逆で、ビジネス企画室と呼ばれる部署に所属しているため、今回はその新規ビジネスを立ち上げる経験を活かすことができました。一方で、セキュリティ分野の知識のキャッチアップで苦労しました。足りない経験を相互補完する必要があり、特にコミュニケーションが重要だったと感じています。大蔵さんとは年齢が二回りくらい離れているのですが、価値観の違いなどに驚かされるという経験もしました(笑)。それでも、互いの強みを持ち寄り、新しい考え方や価値観を受け入れながら挑戦することは楽しく、チームで活動する醍醐味だと感じています。


大蔵:私は、優先順位を考えながら計画を立てる作業に苦戦したことを覚えています。セキュリティツールが脆弱性を診断してくれるのはよいのですが、その後の対応は一筋縄ではいきません。ツールの結果をもとに危険度や修正にかかる労力を見極め、優先順位をつける必要がありました。被害がほとんど出ないけれど、対応に時間がかかる作業もあれば、短時間で重大な影響を及ぼすものもある。それらを取捨選択し、計画を立てる作業は想像以上に手間がかかりました。しかし、システムのメンテナンスを怠れば、お客様の大事な情報が漏洩する可能性が高まります。このプロジェクトに携わってからは、自分がメンテナンスの必要性を伝えなければと、より責任感を抱くようになりました。


前向きなチャレンジを受け入れるインフォテックの土壌

安樂:セキュリティのビジネスが誕生したのはお客様の声からでしたが、これほど早くチームが立ち上がり受注につながったのも、チャレンジ精神を受け入れるインフォテックの土壌があったからだと感じます。このビジネスはまだ2年目ですが、お客様から見れば我々は専門家。それに応えるために日々の努力が欠かせません。


:私も安樂さんと同じことを感じています。私はもともとセキュリティについて勉強してきたわけではなく、プロジェクトにアサインされてから学び始めました。それでも、前向きに取り組めば皆で達成できる環境がここにはあります。特にチームの力が大きく、助け合いながら成長できるのがインフォテックの魅力だと思います。


大蔵:私は、今回安樂さん、橘さんという少し世代が離れた先輩とご一緒させていただきましたが、のびのびとこのプロジェクトを遂行できたことがインフォテックの一つの魅力だと思っています。上司や先輩とも肩の力を抜いて話せる風通しの良い職場ですし、この環境がなければセキュリティ診断士のプロとしてここまで成長できた自分はいなかったかもしれません。


※所属、年次は取材当時のものです。


一覧に戻る icon-arrow