先進AI×Webサービス事業立ち上げに、不正アクセスの不安。サイバーセキュリティ診断で得たのは、セキュリティ対策に対する幅広い視野
機械類の設計・開発、電子機器類の設計・開発 、電子計算機に関するソフトウエアの開発及び販売、電子計算機及び周辺機器の管理ならびに販売
イノベーション推進室 室長 飯田穣様
イノベーション推進室 冨田勝様
- 広く市場に流通させるWEBサービスの立ち上げにあたり感じた、サイバーセキュリティ対策への不安感
- 評価方法や診断結果など具体的なレポートを通じた脆弱性の解消と、セキュリティ対策への視野の広がり
- 診断を実績豊富なプロに任せる事により可能となったリソースの開発への注力と、自信を持ったサービスの市場展開
機械設計・ソフトウェア開発・電気設計のエンジニアリングサービスを提供しているデザインネットワーク様。ものづくりのノウハウを活かしたソリューションで数多くの企業をサポートされています。初めての自社サービス「DzLogger™(ディーズロガー)」をリリースするにあたり、当社の「サイバーセキュリティ診断」をご利用いただきました。今回はイノベーション推進室 飯田穣様、冨田勝様に、ご依頼いただいた経緯やサービスの品質、今後の展望などについてお聞きしました。
ものづくりの知見を活かし、ワンストップで応えるエンジニア集団
はじめに、貴社の事業内容を教えてください。
飯田様:当社は機械設計者が集まって1995年に創業しました。エンジニア派遣と受託開発を行う「プロジェクト事業」を主軸に、お客様のニーズに合わせたソリューションサービスを幅広く提供しています。また、グループ会社のDNイー・ウイングではエンジニア向け教育事業を、DNクエストでは医療機器や産業用ロボットなど専門性の高い製品の保守・メンテナンスなども行い、お客様のニーズにワンストップで対応できる体制を整えています。東京本社のほかに、営業所は宮城から大阪まで全9拠点に構え、約200社と取引させていただいております。
当社のサイバーセキュリティ診断をご利用いただいた「DzLogger™(ディーズロガー)」のご紹介をお願いいたします。
飯田様:「DzLogger™」は、トラック運搬物流会社やタクシー会社を対象とした、先進AI機能によるドライブレコーダーWebサービスです。AIを搭載したドライブレコーダーが車両とドライバーを自動見守り・警告し、車両の位置や各種アラームの発生を運行管理者がリアルタイムで取得できます。加えて、運行履歴から業務日報を自動作成するため、煩雑な作業の手間を省けます。
また、DMS※によるドライバー認証やアルコールチェッカーとの連動で遠隔点呼が可能になるため、「物流2024年問題」の解決の一助になると考えております。リリース以来、物流業、運送業企業などから多くの反響をいただいております。
※ Driver Monitoring System(ドライバーモニタリングシステム)
「DzLogger™」は初の自社サービスと伺いましたが、どのような経緯で開発されたのでしょうか?
飯田様:派遣事業・受託事業とは異なる収益構造を確立できる新規事業を模索していました。その結果、辿り着いたのが自社サービスの開発です。他社様の技術をお借りしながら当社の強みを活かせるビジネスモデルを探していたところ、海外のドライブレコーダーメーカー様とご縁あって業務提携という形でこのサービスが生まれました。
開発メンバーも、私と冨田をはじめ、今回同席しているエンジニアの田中、総務の渡部など意欲ある社員が自主的に集まり、リリースに漕ぎ着けることができました。
Webサービスの提供で実感した脆弱性把握の必要性、経営層も納得して依頼
当社のサイバーセキュリティ診断をご利用いただく前はどのような状況でしたか?
飯田様:これまでは社内ネットワークの情報セキュリティの知識しかなく、広く世にサービスを展開する際に必要な、外部からの不正侵入防止やサイバー攻撃対策の知識があまりありませんでした。その状態で「DzLogger™」を運用するのはリスクがありますし、万が一トラブルがあれば当社の信用に関わる。まずはシステムの脆弱性を把握するため、外部の企業に依頼することを検討しました。
例えば、社内に専任チームを作って内制化するなどは検討されましたか?
冨田様:それはなかったです。セキュリティ診断は高度な知識が必要ですし、いきなり自社で行うのは現実的ではないからです。実績が豊富な会社にご協力いただきながら、まずは知識・経験を積み上げようと考えていました。
飯田様:いくらエンジニアが多いとはいえ、当社は機械設計から始まった会社。ソフトウェアも開発していますが、組込ソフトウェアがメインで、ものづくりは得意でもWebやネットワークの知見は十分ではなかったので、できないことはプロにお任せして、私たちは新規事業開発に注力するのが最善と判断しました。
AGESTにご相談いただいた経緯を教えてください。
冨田様:前職で現在の営業担当の方にお世話になったので、ご相談しました。診断内容や費用感も知っていましたし、前職の時も丁寧なヒアリングの上で最適なプランニングをしてくださったので信頼感がありました。
また、最初の打ち合わせの時にも、信頼感が増していきました。エンジニアの方が参加してくださって、評価方法や診断の進め方を丁寧に教えていただき、不備が発見された際の対応方法についてもアドバイスいただきました。セキュリティ診断については初心者だったので、実際に診断する方が最初から参加してくださったのは心強かったです。
当社にご依頼いただくにあたり、社内の意思決定はどのように進みましたか?
冨田様:最初からある程度現場サイドに裁量を持たせてもらっていたので、ご依頼に至るまでは早かったです。経営計画にも新しい利益の柱となる新規事業は組み込まれていましたし、当社としても注力したい部分であり、成功するためには「外部の専門家の力は欠かせない」という共通認識がありました。
飯田様:実を言うと、新規事業の立ち上げは決まっていたものの、具体的な事業内容や計画は現場サイドで詰めていきました。セキュリティ診断実施についても、万が一セキュリティに不備があった場合のリスクを経営層に説明して、同意を得ることができました。また依頼するのであればセキュリティ診断の豊富な実績があり、見積もり段階でも誠実な対応をしてくれるAGESTさんにお願いしたい、という現場サイドの思いを経営層も理解してくれたように思います。
対応の優先度から対応方法まで、具体的な診断レポートで視野が広がり、セキュリティ対策の意識が向上
セキュリティ診断はどのように進めていきましたか?
冨田様:診断項目の決定後、2回の診断を実施していただきました。初回診断で見つかったのは、Webアプリケーション診断でのミドルウェアの設定不備、プラットフォーム診断での警告が2件。その診断結果報告をもとに、我々が修正対応してから再度診断していただきました。その結果、全てが改善され問題ない結果に。診断中の進捗確認から診断結果まで一貫して同じ方が担当してくださったので、安心して任せられました。
診断結果のレポートはいかがでしたか?
冨田様:警告箇所ごとに修正の優先度やAGESTさん推奨の対応方法が書かれていたので、何をいつするべきなのかが明確でした。診断前に懸念していたのが、指摘事項の内容です。セキュリティ診断の知見があまりない当社でも理解できる内容なのか、対応できるのかと不安でしたが、一つひとつ具体的に書かれていて、「こういう観点もあるのか」と非常に勉強になりました。レポートを読めば全てわかるので、メンバー内の情報共有もスムーズでしたし、次にするべき作業に着手しやすかったです。
脆弱性の発見以外にも、今回の診断で得られたことはありますか?
冨田様:脆弱性に関わる知識を得られたことはもちろんですが、セキュリティ対策の視野が広がったのは当社にとって価値が高いです。今回の診断対象外の部分にも対策を講じようという姿勢が浸透しつつあり、脆弱性やシステムの安全性に対する意識が高まったように感じますね。
改めて当社の対応で評価しているポイントがありましたら教えてください。
冨田様:一番は、当社の現状や目的に応じた親身な対応です。営業の方は当社の目線で考えてくれましたし、エンジニアの方も見積もり段階から参加してくださって、私たちに誠実に向き合ってくれていると感じました。こちらの都合で診断対象が二転三転したり、スケジュールがタイトになったりしても柔軟に対応してくださったので大変助かりました。
飯田様:費用を大幅に抑えることができました。最初は、他の診断やテストも盛り込んで見積もりを作成していただきましたが、実際には当社の状況に合う必要な項目だけを見極めていただき、コンパクトな内容に。それにも関わらず、高品質なサービスをご提供いただけたので、満足度が非常に高いです。総じて、こちらの状況に寄り添ってくださったことに感謝しかありません。
自信を持って新サービスを届けられるのは、専門会社によるハイレベルな知見の後押しが得られたからこそ
今後、更に当社が貢献できる部分はありますか?
冨田様:今回AGESTさんの取り組み方を見て、一つひとつがハイレベルだと実感しました。特に、品質を追求する姿勢は開発エンジニアにとっても学ぶべきことが多いと思うので、品質保証の点でもお力をお借りしたいです。「DzLogger™」のユーザー増加に伴って保管するデータも増えますので、いずれは違う切り口で脆弱性を見ていただきたいですし、当社のサービス品質も評価していただければと考えています。
飯田様:今回の新規事業は当社にとって大きな試み。いくら当社では良いサービスと思っていても、初めての領域ですので不安ももちろんありました。そのような状況下で、システムの良し悪しを客観的にご指摘いただき、知見がない当社にも丁寧にご対応いただけたのは救いとなりました。セキュリティ診断によるサポートを通じて、「大丈夫」と背中を押していただいた感覚ですし、自信を持って「DzLogger™」を届けられます。信頼関係を構築できたので、今後も局面に応じて助けていただけると大変助かります。以前の当社のように不安を感じていたり、新たな領域でチャレンジしたりする企業は、AGESTさんに相談してみてください。
