ココナラ、「Baseline」で脆弱性対策を強化　週次検知で継続的な運用体制を構築

　ココナラは、ソースコードレベルでの脆弱性対策強化と開発者の運用負荷軽減を目的に、アプリケーションセキュリティポスチャー管理（ASPM）ツール「Baseline」を採用した。8月12日、Baselineを提供するIssueHuntが発表した。従来の年次の脆弱性診断から、週次で脆弱性を検知・運用する体制へ移行することで、エンジニアのセキュリティに対する意識改革を図る。

　スキルマーケット「ココナラ」などを運営するココナラでは、従来、年1回もしくは2年に1回の頻度でWebアプリケーションの脆弱性診断を実施していた。しかし、この方法では診断対象外となるソースコードレイヤーの脆弱性を可視化できない点や、次の診断まで長期間にわたり新たなリスクを把握できない点に課題を感じていた。

　また、WAF（Web Application Firewall）などによる対策は講じていたものの、本質的なセキュリティレベルの向上のためには多層的な防御が不可欠だと考えていた。限られた人的リソースで、日々発生しうる脆弱性を追い続けることの限界から、セキュリティ運用のあり方を抜本的に見直す必要があった。

　こうした背景から、ココナラはソースコードからクラウド環境まで網羅的に脆弱性を管理できるBaselineの採用を決めた。ツールの機能性に加え、セキュリティの専門家による伴走型の支援を受けられる点も評価した。同社エンジニアリング推進本部システムプラットフォーム部部長の川崎雄太氏は、「セキュリティコンサルによる支援では、日々の開発サイクルに合わせた継続的なサポートを得にくい課題があった。データを継続的かつ定量的に可視化できる点を考慮し、Baselineでの対策を決めた」と選定理由を語る。

　Baselineの導入により、最も大きな効果として意識の変化が生まれている。これまでは年次のイベントとして捉えられがちだった脆弱性対策が、週次で問題を確認する継続的な業務へとシフトし始めた。開発者がシステムの状況を常に把握可能となったことで、堅牢性の高いシステム構築への意識が高まり、開発の運用負荷軽減にもつながっている。川崎氏は、「今までは年に1、2回の診断でしか問題を把握できなかったが、日々継続的に問題を確認する運用へシフトしようという意識変化が大きな効果だ」と話す。

　ココナラは今後、Baselineの生成AI機能などを活用し、ソースコードの改善支援やさらなる業務効率化を実現していく。川崎氏は、「脆弱性対策を何もせずに上場できる企業はない。専任のセキュリティエンジニアの採用が難しい企業にとって、プラットフォームと伴走支援を両方提供するBaselineは価値のあるソリューションだ」とコメントしている。

ニュースリリース