ゼロから築いた信頼と成果
―セキュリティ脆弱性診断チームの挑戦

Story
プロジェクトメンバー
1996年入社
安樂 啓之

ビジネスソリューショングループ所属。ウェブアプリケーションの脆弱性診断サービスの立ち上げ、企画、開発案件等への導入相談を担当。


2008年入社
橘 大輔

ビジネス企画室所属。サービスの立ち上げを主に担当し、セキュリティ診断士として企業のコンサルとウェブアプリケーション脆弱性診断を行う。


2023年入社
大蔵 海斗

ビジネスソリューショングループ所属。セキュリティ診断士としてウェブアプリケーション脆弱性診断を行う。


プロジェクト概要

セキュリティへの高まる関心を受け、インフォテックは新たな挑戦に乗り出した。それは、「ウェブアプリケーションの脆弱性診断サービス」という前例のないサービスをゼロから構築することだった。ベテランと若手が協力し、課題を克服しながら顧客の信頼を獲得するまでの奮闘の日々を語ってもらった。


プロジェクトの背景
社内初のセキュリティサービス開始の背景

安樂:インフォテックでは、これまで既存のお客様から「セキュリティ診断は実施していないのですか?」とご相談をいただくことがありましたが、当社では対応が難しかったため、他社のセキュリティサービスをご案内していました。セキュリティサービスを開始するに至ったきっかけは、インフォテックが開発・販売しているアプリケーションサービス「つなかんたん」をリリースしたことです。新サービスのリリースにあたり、セキュリティ面の強化が重要な課題として挙がりました。


大蔵:私は今回のプロジェクトのキックオフのタイミングで参加したので、その経緯については知りませんでした。


安樂:今回のセキュリティ診断サービスのリリースに関しては、その(つなかんたんの)後です。お客様や市場全体でセキュリティへの関心が高まる中、サービスのリリース前に脆弱性診断を実施したいというご要望を多くいただくようになりました。インフォテックはこれを商機だと考え、外部セキュリティ診断ツール「Securify」の導入を決定しました。


:Securifyはウェブサイトのアプリケーションや環境に対して脆弱性の検査をするサービスです。Securifyはお客様に対してトータルな支援が実現できるので、インフォテックの強みとも合致していました。


安樂:この特性にセキュリティ診断士による改善案を添え、開発メンバーに伝達し、問題点を直してお客様に提供することがインフォテックのサービスとなります。セキュリティサービスまでワンストップで提供できる企業はほぼないため、大きな差別化になると確信していました。


大蔵:以前はセキュリティ専門の会社を紹介していたため、お客様にとっては二度手間になっていました。それが、インフォテックと契約するだけで一気通貫のサービスを受けられるようになったので、お客様にとっても有難いサービスだと思います。


直面した課題・やりがい
新サービスに立ちはだかる壁 ― それは説得力のあるエビデンス

安樂:今回の一番の難関は間違いなく新規事業の立ち上げのフェーズでしたね。実績もない新しいサービスなので、お客様にインフォテックが提供する「脆弱性診断サービス」の品質をどのように証明し、ご納得いただくかが一番の壁でした。そこで活躍してくれたのが橘さん、大蔵さんですね。


:このプロジェクトの話をいただく以前は、セキュリティに関して一定の理解はあったものの、サービスの品質をしっかり証明するには不十分でした。そのため、私と大蔵さんは安樂さんと相談し、セキュリティ診断士の資格を取ることにしました。インフォテックの一事業の命運がかかっていたので、大きなプレッシャーとやりがいを感じましたね。


大蔵:私も当時は社会人1年目だったので、これほどの大任を担えることに驚きとプレッシャーを感じていました。ただ、安樂さんや橘さんの指導の下、安心して実践を積むことができました。


安樂:お2人が資格を取ってくれたおかげで、プロジェクトの土台もだいぶ固まってきました。あとは、サービスの品質をどのようにお客様に証明するかです。そこで私たちは、他社サービスの診断結果をSecurifyの診断と合わせて、橘さんと大蔵さんの診断を通して、再度チェックをしました。その結果、ほぼ同じ診断結果を得ることができました。それをお伝えすることで、多くのお客様に導入を前向きにご検討いただけるようになりました。


安樂:ただ、エビデンスを伝えてご納得いただいた後で、最終的な決裁者の方にセキュリティ対策の必要性を認識していただくことが、次の壁となりました。


:セキュリティ診断は多大な費用がかかることや、直接的な利益につながりにくい面があるため、費用対効果を重視されることが多いです。「本当にテストを受ける必要があるのか」、「テストを受けるだけで本当に十分なのか」といったご意見をいただくこともあります。また、現場から報告を受けている経営者の方は、現時点で大きなセキュリティ上の問題がなければ、導入のメリットや将来のリスクをなかなか実感しにくいのが実情です。そこで私たちは、お客様の現場と決裁者の方との間に立ち、双方の考えや状況を橋渡しする役割が求められました。


案件を通して得た学び
インフォテックだからこそ得られた成長

安樂:このプロジェクトは、エンジニア歴の長い私にとっても新しい挑戦で、学びが多くありました。一つのサービスをゼロから作り上げる経験は初めてで、新規事業の立ち上げには予想外の事態が多々ありました。しかし、その過程得られた達成感と成長は大きいです。これまでにない新しい形のサービスを顧客に提供することで、会社の価値をさらに高めることができると確信しています。


:私は、安樂さんとは逆で、ビジネス企画室と呼ばれる部署に所属しているため、今回はその新規ビジネスを立ち上げる経験を活かすことができました。一方で、セキュリティ分野の知識のキャッチアップで苦労しました。足りない経験を相互補完する必要があり、特にコミュニケーションが重要だったと感じています。大蔵さんとは年齢が二回りくらい離れているのですが、価値観の違いなどに驚かされるという経験もしました(笑)。それでも、互いの強みを持ち寄り、新しい考え方や価値観を受け入れながら挑戦することは楽しく、チームで活動する醍醐味だと感じています。


大蔵:私は、優先順位を考えながら計画を立てる作業に苦戦したことを覚えています。セキュリティツールが脆弱性を診断してくれるのはよいのですが、その後の対応は一筋縄ではいきません。ツールの結果をもとに危険度や修正にかかる労力を見極め、優先順位をつける必要がありました。被害がほとんど出ないけれど、対応に時間がかかる作業もあれば、短時間で重大な影響を及ぼすものもある。それらを取捨選択し、計画を立てる作業は想像以上に手間がかかりました。しかし、システムのメンテナンスを怠れば、お客様の大事な情報が漏洩する可能性が高まります。このプロジェクトに携わってからは、自分がメンテナンスの必要性を伝えなければと、より責任感を抱くようになりました。


前向きなチャレンジを受け入れるインフォテックの土壌

安樂:セキュリティのビジネスが誕生したのはお客様の声からでしたが、これほど早くチームが立ち上がり受注につながったのも、チャレンジ精神を受け入れるインフォテックの土壌があったからだと感じます。このビジネスはまだ2年目ですが、お客様から見れば我々は専門家。それに応えるために日々の努力が欠かせません。


:私も安樂さんと同じことを感じています。私はもともとセキュリティについて勉強してきたわけではなく、プロジェクトにアサインされてから学び始めました。それでも、前向きに取り組めば皆で達成できる環境がここにはあります。特にチームの力が大きく、助け合いながら成長できるのがインフォテックの魅力だと思います。


大蔵:私は、今回安樂さん、橘さんという少し世代が離れた先輩とご一緒させていただきましたが、のびのびとこのプロジェクトに取り組めたことがインフォテックの一つの魅力だと思っています。上司や先輩とも肩の力を抜いて話せる風通しの良い職場ですし、この環境がなければセキュリティ診断士のプロとしてここまで成長できた自分はいなかったかもしれません。


※所属、年次は取材当時のものです。


一覧に戻る icon-arrow