サイバーエージェント、年間数百件の脆弱性診断にエムオーテックスのサービス採用

　サイバーエージェントが、セキュリティ強化のため「LANSCOPE プロフェッショナルサービス」の脆弱性診断を採用した。2024年12月19日、エムオーテックスが発表した。

　サイバーエージェントは、メディア事業、インターネット広告事業、ゲーム事業、投資育成事業など多岐にわたる事業を展開しており、事業継続と発展のために高いセキュリティを求めている。同社では、グループ横断で「ITセキュリティ戦略室（CyberAgent CSIRT）」を設置し、セキュリティ実務経験者による「システムセキュリティ推進グループ」がインシデント予防と対応に取り組んでいる。

　Webアプリケーションやスマートフォンゲームなどのサービスでは、10年以上前から脆弱性診断を実施しており、その規模は年間数百件に及ぶ。同社は、サービス内容やプロダクト規模が多様であるため、各開発ラインでセキュリティ問題が発生した場合に、迅速にCSIRTと連携できる体制を構築している。

　情報セキュリティリスクへの対応だけでなく、技術進歩への対応も重視しており、社内リソースに加え外部ベンダーにも診断を委託している。ベンダー選定においては、「技術力」「リソース調整力」「コミュニケーション力」の3点を特に重視している。

　具体的には、ベンダーの技術力を評価するために、疑似的な環境で侵入テストを実施し、そのプロセス全体を確認するなど、厳格なチェックを行っている。また、診断期間はプロジェクトの規模や納期により変動するため、サービスや業務に影響が出ないよう、柔軟な対応が求められる。さらに、診断日程の調整や要件ヒアリング、診断時のやり取り、脆弱性や調査結果の管理など、円滑なコミュニケーションが重要となる。

　エムオーテックスが提供するLANSCOPE プロフェッショナルサービスの脆弱性診断は、これらの要求項目を満たしていたため、2019年から利用している。豊富な診断経験を持つプロフェッショナルなエンジニアが丁寧な作業で診断品質を担保しており、診断品質に対する満足度は高く、診断期間の調整やスケジュール管理など、柔軟な対応で効率よく運用することで、サイバーエージェントのサービス・プロダクトの開発期間短縮に貢献している。

　サイバーエージェントでは、リリース前や機能追加前だけでなく、リリース後も定期的に脆弱性診断を実施し、開発サイクルに診断を組み込むことで、ユーザーが安心して利用できるサービス・プロダクトを継続的にリリースできる体制を構築している。

　今後もLANSCOPE プロフェッショナルサービスを活用し、技術の進化に対応した診断体制を整備する。サービスやプロダクトをユーザーに安全かつ迅速に提供するため、安定的なテストを継続し、脆弱性のない運用を目指すとともに、新たな技術に対応できる診断体制を構築していく。

ニュースリリース