SOMPOホールディングス、損保ジャパン、米国ContrastSecurity社のセキュリティソリューションを導入

SOMPOホールディングスおよび損保ジャパンと、Webアプリケーションセキュリティを提供するContrastSecurity,Inc.と、、株式会社ユービーセキュアは、6月2日に、SOMPOホールディングスおよび損保ジャパンのデジタルトランスフォーメーション戦略の要となる基幹システムの刷新プロジェクトにおけるセキュリティ対応にContrastSecurityのセキュリティソリューション「ContrastASSESS」および「ContrastOSS」を採用することを決定し発表した。
これにより、損保ジャパンのデジタルトランスフォーメーションにおける、カスタムコード、オープンソースソフトウェアのセキュリティ強化、開発スピード加速および高度化を推進することが可能になる。
損保ジャパンでは、傷害保険見積もりの新たなアプリケーションの開発において、「ContrastASSESS」および「ContrastOSS」に加えて、本番稼動中のアプリケーションに対する攻撃をブロックする「ContrastPROTECT」の導入も進めている。
1．導入の背景・目的
損保ジャパンでは、SOMPOグループが推進する「未来革新プロジェクト」※において、デジタルトランスフォーメーションをさらに進め、より付加価値の高いサービスを迅速に提供することを目指した基盤作りを進めている。このような状況において、開発効率を向上させるためカスタムコードに加えてオープンソースソフトウェア（OSS）も活用していく中で、プロセスで検出される脆弱性の量も膨大となる為、脆弱性対応に要する時間を短縮し、負荷を軽減して開発作業のスピードを高める自動化された仕組みが必要となり、従来の方法では削減出来なかった脆弱性対応の工数削減のためContrastSecurity社のソリューションを採用した。
※「未来革新プロジェクト」とは・・・1980年代に構築、その後改修を重ね複雑化・肥大化した基幹システムを刷新するプロジェクト。Javaなどのオープン技術を全面採用しよりスピード感をもった開発を行えるようになることで、付加価値の高いコア業務領域の拡大、新ビジネス創出を目指す。[https://www.sompojapan.co.jp/-/media/SJNK/files/news/2021/20210601_2.pdf]
2．導入ソリューションの概要
今回、採用が決定したContrastSecurityの「ContrastASSESS」は、テストで稼働しているウェブアプリケーションにインテリジェントなエージェントを組み込むことにより、高速なソフトウェア開発環境でアプリケーションの脆弱性やコンプライアンス上の潜在的リスクをリアルタイムで検出し、課題の早期対応や継続的検証、監視を行う。特に「ContrastOSS」は、脆弱性のあるオープンソースソフトウェアコンポーネントを特定し、それらがアプリケーションで実際にどのように使用されているかを判断出来るため、早期の対応により実行時の悪用を防ぐことが可能になる。
＜各社のコメント＞
■SOMPOホールディングス、IT企画部プロジェクトマネージャー課長代理：土屋敏行
「これまでのウォーターフォール方式の開発では、テストの段階になってはじめて脆弱性診断を実施するという具合に、後のフェーズでセキュリティを検査していました。しかしセキュリティ対応というものは、後のフェーズになればなるほど対応工数もコストも嵩みます。開発プロセスのより前の段階で脆弱性を検知出来ないかと問題意識を抱えていたところにContrastSecurityの話を聞き、プロジェクトに取り入れてみました。ContrastSecurity社の製品群を活用することで、リリースサイクルを維持しながらセキュリティを担保していきたいと思っています。」
■損害保険ジャパン、IT企画部セキュリティエバンジェリスト：小中俊典
「基幹システムの刷新によりオープンな技術を利用できる自由度が上がった反面、オープンソースソフトウェアやソースコードへの脅威対策がより一層必要となっていました。また従来の開発プロセスでは世の中の脅威の発生への対策スピードが合わなくなっており、迅速に漏れなく対策ができるソリューションを探していました。ContrastSecurity社の製品群は検知能力、管理のし易さを兼ね備えた強力なツールであり、システムリスクの大幅な低減に寄与できるものと思います。」
■損害保険ジャパン、IT企画部ユニットリーダー：西山龍弥
「基幹システムの刷新プロジェクトにおいてコアとなる基盤・業務アプリ開発の進行に対して、脆弱性の管理運用はいかに楽に、漏れなく対応できるかが課題でした。ContrastSecurity社の製品群を実際に用いることで、その課題に対する効果を確認し確実な導入を進めることができました。」
■株式会社ユービーセキュア、代表取締役社長：観堂剛太郎
「SOMPOグループ様にて、DXを支えるセキュリティソリューションとして、ContrastSecurity社の製品が採用されたことを嬉しく思います。ユービーセキュアは「セキュリティを楽に」するソリューション・サービスを、お客様と伴走しながらフィットさせ、安全・安心なデジタルサービスの提供実現をお手伝いしています。SOMPOグループ様のDevSecOpsの実現に向け、積極的にご支援を継続して行きます。」
■ContrastSecurity、最高戦略責任者：SuragPatel
「デジタルトランスフォーメーションは、世界の保険会社においても優先的かつ戦略的に進めている取り組みです。SOMPOグループのブランドスローガンである『安心・安全・健康のテーマパーク』は正にデジタルテクノロジーを統合する高品質のソリューションによって達成されると思っています。我々は、SOMPOグループのデジタルトランスフォーメーションを、Contrastが提供する最新の企業向けセキュリティプラットフォームによって強化されることを嬉しく思っています。弊社のプラットフォームは、損保ジャパンのような企業が顧客に提供する先進的なプロジェクトを、従来のセキュリティツールでは出来なかったスピードで進めることが出来るようになります。ContrastSecurityは、ソフトウェア開発ライフサイクル全体においてセキュリティの可観測性を組み込み、その自動化されたアプローチにより、アプリケーションセキュリティに変革をもたらします。」
3．今後について
損保ジャパンは、デジタルトランスフォーメーションを更に推進し、サービス開発の生産性とセキュリティ品質の両方を高めながら、お客様により付加価値の高いサービスを迅速に提供することを目指す。
ContrastSecurityは、日本国内でのお客様のデジタルトランスフォーメーションにおけるセキュリティ強化と開発業務効率化の支援に努めていく。