ULTRARED 導入事例

• ULTRA REDに関するお問い合わせ

背景と課題

サービスの成長にともなって管理すべき情報の増大と攻撃面の拡大が課題に

パーソルキャリアは、日本最大級の総合人材サービス企業グループ「パーソルグループ」の中核企業である。「人々に『はたらく』を自分のものにする力を」というミッションを掲げ、転職支援サービス「doda（デューダ）」をはじめとするさまざまな人材サービスを提供している。転職の領域のみならず、近年拡大しているのが、副業・兼業領域のマッチングサービスだ。同社 ITガバナンス本部 ITセキュリティ統括部 エグゼクティブマネージャー 園部 佑樹 氏は、次のように説明する。

「人材不足や働き方の多様化という背景から、兼業・副業の社会的ニーズも高まっています。そこで『HiPro（ハイプロ）』というブランドを立ち上げ、兼業・副業を希望する方々と企業をマッチングするサービスを展開しています」（園部氏）

さまざまな人材サービスを提供する同社は、個人情報をはじめとする秘匿性の高い膨大な情報を安全に管理しなければならない。したがって、サービスを支えるITシステムのセキュリティ対策は、同社の事業を支える重要な取り組みとなる。
一方でサービスの拡大・成長とともに管理すべき情報は増大し、システム拡張によるサイバー攻撃者から見える"攻撃面"が拡大していたのも事実だ。特に課題となっていたのが「脆弱性」の管理だった。

CVSSによる脆弱性管理の限界

脆弱性をできるだけ早く発見して対処することは、システムの安全で信頼性の高い運用に欠かせない。ITガバナンス本部 ITセキュリティ統括部 ITセキュリティ部 サイバーセキュリティ推進グループ シニアコンサルタント 櫻井 厚雄 氏は、同社の従来の脆弱性管理の取り組みを次のように説明する。

「基本的には、ソフトウェアの脆弱性の危険度を表すCVSS^※1をもとに危険度の高いものから対処していました。ただし、CVSSの危険度が同じでも、現実に攻撃されて被害が発生するかどうかは、そのときの攻撃の状況、セキュリティ対策の実施状況などで変わります。そこで、サービスのリリース直前などに擬似的な攻撃を行うテストを実施していました」（櫻井氏）

CVSSはあくまで脆弱性の危険度を表す1つの指標にすぎない。同じ脆弱性であっても、それが含まれるシステムやネットワーク構成、WA F（Web Application Firewall）などの設置状況、あるいは攻撃のトレンド等の要因によって、個々の企業にとっての"リアルな危険度"は異なる。そこで同社は、定期的もしくはサービスリリース直前などの重要なタイミングで脆弱性診断を実施していたのである。

ただし、今後はさらに徹底した管理が必要であると、櫻井氏は次のように述べる。

「新しい脆弱性は、日々、発見されています。したがって、スポットで脆弱性診断などの検証を実施しても、本当にいま安全なのかどうかをリアルタイムで確認することはできません。そこで、本当に攻撃されるリスクがあるのかどうかを迅速に知る仕組みを検討することになったのです」（櫻井氏）

※1…CVSS（Common Vulnerability Scoring System）は、ソフトウェアなどの脆弱性の深刻度を0.0～10.0のスコアで定量的に評価する国際的な標準指標

選定経緯

擬似的な攻撃テストを自動的に実行するABAS機能を高く評価

こうして同社は、システムの脆弱性をいち早く発見する仕組みとして、ASM（Attack Surface Management）を検討することになった。これは、外部の攻撃者の目線でシステムの脆弱性を検出するサービスを指す。そして、いくつかのサービスを比較検討した結果、最終的に選択したのが、東陽テクニカから提案された「ULTRA RED（ウルトラレッド）」だった。
ULTRA REDは、イスラエル発の技術を活用したSaaS型のサイバーセキュリティソリューションである。外部攻撃者の視点からシステムの脆弱性を自動検出し、リスクを定量化して優先順位を明確化する。
特徴的なのが、実際の攻撃手法を用いて脆弱性を突いた疑似攻撃を自動的に実行するABAS機能^※2が用意されていることだ。システムの脅威を継続的に検出できることから「CTEM（継続的脅威エクスポージャー管理）」^※3を実現するサービスにも位置付けられる。同社がULTRA REDを選択したのも、まさにこの点にあったと、櫻井氏は次のように述べる。

「外部から脆弱性を検出するASMサービスは少なくありません。ただし、そのほとんどは外部から見える脆弱性を調べて『このサーバに○○の脆弱性があります』という事実を教えてくれるだけです。実際に疑似攻撃をして、すぐに対処すべき脆弱性があるかどうかを確認できるASMサービスはULTRA REDを含む少数のプロダクトだけでした」（櫻井氏）

PoC段階からの東陽テクニカのサポートが後押し

ULTRA REDを選択することになった理由はもう1つあった。それが、PoC（概念実証）段階での東陽テクニカによるサポートだ。櫻井氏は次のように語る。

「PoC中に改善してもらいたい機能を東陽テクニカさんに伝えたところ、それが開発元であるULTRA REDに伝わって実際にサービスに反映されました。また、開発元のCEOが来日した際には引き合わせていただき、直接、要望を伝えられたことも大きかったですね。さらに、開発元と共に今後の開発ロードマップを明確に提示してもらえたことも、導入の後押しとなりました」（櫻井氏）

こうして同社は、2024年10月にULTRA REDを正式に導入し、新たな脆弱性管理の運用がスタートしたのである。

※2…ABAS（Automated Breach and Attack Simulation）。攻撃者視点に立って外部アタックサーフェス（攻撃対象領域）に対して継続的にシミュレーション攻撃を行い、脆弱性を検証・優先順位付けする機能
※3…CTEM（Continuous Threat Exposure Management）。脆弱性や設定不備などのアタックサーフェスを攻撃者目線で継続的に可視化・評価・改善する手法

導入効果

毎日テストを実施してシステムの健康状態を確認

ULTR A REDの導入によって脆弱性管理の運用は大きく変わったと、ITガバナンス本部 ITセキュリティ統括部 ITセキュリティ部 サイバーセキュリティ推進グループ リードコンサルタント 塚田 裕貴 氏は次のように述べる。

「現在は、毎日、ULTRA REDでテストして脆弱性を確認しています。もちろん、何も検出されない日のほうが多いのですが、緊急性の高い脆弱性が検出された場合は、すぐにそのシステムの管理者に連絡して必要な対応をとってもらうようにしています」（塚田氏）

実際に、緊急性の高い脆弱性が発見されてもすぐに安全性を確認できることは、大きな安心感につながっている。たとえば、2025年12月には、JavaScriptのライブラリである「Reac t（リアクト）」の脆弱性が公表されて話題になった。ReactはWebサイトやWebアプリケーションの開発で多用されるライブラリであるため、影響が広範囲に及ぶことが懸念されたのである。

「Reactの脆弱性公表後にULTRA REDの検出状況を確認したところ、弊社のシステムには影響がないことがすぐに確認できました。もしもULTRA RED がなかったら・・・