ケース スタディ

【GVA TECH株式会社】
AI契約書レビュー支援クラウド「GVA assist」を提供するGVA TECH
コンテナ/サーバレス環境のセキュリティに「Prisma Cloud」を導入

リリース日: 2023年8月29日

AWSクラウドのセキュリティ機能を補完する脆弱性対策として、顧客企業に安心感をもたらす

GVA TECHは、テクノロジーを活用により、契約書レビュー時の「読む・直す・仕上げる」負 担を解決し、的確かつ効率的な契約書レビューを支援するクラウドサービス「GVA assist」 のセキュリティ対策として、パロアルトネットワークスのクラウドワークロード保護ソリュー ション「Twistlock(現在のPrisma Cloud Compute Edition)」を導入した。AWS (Amazon Web Services)のコンテナ/サーバレス環境で稼働するGVA assistのセ キュリティ強化に取り組んだ同社は、AWSクラウドのセキュリティ機能を補完するソリューショ ンとしてPrisma Cloudに着目。強固な脆弱性対策を実現し、顧客企業からの信頼獲得につ ながっているという。




概要情報

お客様

GVA TECH

住所

東京都渋谷区千駄ヶ谷5-15-6

業 種

情報通信

商材・サービス

リーガルテックサービス「GVAシリーズ」の開発・運営

拠点数、従業員数

拠点数 1、従業員 60名

WEBサイト

www.gvatech.co.jp


課題
    • コンテナ/サーバレス環境のセキュリティ強化に取り組む 必要があった
    • 安全性を重視する顧客企業の期待に応えるセキュリティ 対策が求められていた
要件
    • AWSの機能だけではカバーしきれない範囲のセキュリ ティを担保すること
    • 幅広い機能を備えながらもサービス拡大に伴うコスト上昇 を抑えられること
ソリューション
    • コンテナの脆弱性スキャンに優れ、ランタイム保護も強固 なPrisma Cloudを採用
    • 大幅なコストアップを回避できるライセンス体系も採用 の決め手に
PDFをダウンロード 共有

AWSの機能を補完するセキュリティソリューションの導入を検討

GVA TECHは、テクノロジーの力で法務領域のデジタルトランスフォーメーション (DX)を加速させるリーガルテックサービスを提供するSaaS事業者。法務管理クラウ ド「GVA manage」、オンライン商業登記支援サービス「GVA 法人登記」、NDA(秘 密保持契約書)確認支援サービス「GVA NDAチェック」などのリーガルテックサービ スの提供を通じ、「『法律』と『すべての活動』の垣根をなくす」という企業理念の実現を 目指している。

GVA TECHが提供する主力サービスの一つに、AI契約書レビュー支援クラウド 「GVA assist」がある。2020年2月にリリースされた同サービス(リリース当初の 名称は「AI-CON Pro」、2021年11月に「GVA assist」に改称)は、顧客企業やGVA TECHが用意したひな型とレビューする契約書をAIが比較・参照し、契約書条文に潜 むリスクや抜け漏れ、検討ポイントを検出するといった契約書レビュー業務をアシスト するというもの。コロナ禍をきっかけに締結済み契約書のデジタル化、法務業務の平 準化に取り組む企業が増えたこともあり、現在までに500社以上の企業が法務部門 の業務効率化に利用している。

そんなGVA assistは、開発と運用を一体化したDevOpsの開発手法を取り入 れ、アプリケーション開発・運用基盤にはパブリッククラウドのコンテナ/サーバレス環 境を採用している。ただし、リーガルテックサービスということもあって高い安全性を 求める顧客企業は多く、コンテナ/サーバレス環境のセキュリティ強化に取り組む必 要があったという。

「GVA assistはクラウドアプリケーションの提供基盤として『AWS Fargate』や 『AWS Lamda』などのコンテナ/サーバレスサービスを利用しています。『AWS WAF』などのセキュリティ機能も採用していますが、それだけではコンテナ/サーバ レス環境のセキュリティ対策は十分とは言えません。そこで安全性を重視するお客様 の期待に応えるためにも、コンテナ/サーバレス環境に対応したセキュリティソリュー ションを導入することにしました」(VPoE/開発部 部長 西浦輝明氏)


新たなセキュリティ基準となる広い機能を備えたPrisma Cloudを採用

GVA TECHでは早速、クラウドアプリケーション開発・運用基盤となるコンテナ/ サーバレス環境に対応したセキュリティソリューションの選定作業を進めることにした。

「セキュリティソリューションの選定作業は、クラウドアプリケーションの開発に着手 した2019年9月に行いました。AWSの機能だけではカバーしきれない範囲のセキ ュリティを担保するにはさまざまな製品を組み合わせる必要があり、コストアップが 懸念されましたため、幅広い機能を備えたソリューションに導入候補を絞り込んで比 較検討を実施しました」(開発部 プロダクト開発グループ 岡本優樹氏)

その結果、GVA TECHが導入を決めたのが、パロアルトネットワークスのクラウ ドワークロード保護ソリューション「Prisma Cloud Compute Edition」だった。

「Prisma Cloudは、AWSのセキュリティ機能を補完できる幅広い機能を備えて おり、とくにコンテナに対する脆弱性スキャンに優れ、ランタイム保護も強固です。リー ガルテック業界には明確なセキュリティ基準が存在しないものの、Prisma Cloudで あればお客様が求めるセキュリティ対策を実現する可能性が高いと判断し、Prisma Cloudを導入することに決めました」(岡本氏)

機能面だけでなく、コスト面の優位性もPrisma Cloudを採用する決め手になっ たという。

「多くのセキュリティソリューションは、監視対象数(クレジット)が変わらなくて もサービスをスケールアップするたびにコストも上昇します。それに対しPrisma Cloudは、100クレジットで1ライセンスという課金体系を採用しており、サービスが スケールアップしてもコストが大幅に上昇することはありません。機能が充実してい ることもさることながら、コスト面での優位性も決め手になり、Prisma Cloudを採 用しました」(開発部 プロダクト開発グループ 西坂重斉氏)


リーガルテックサービスの利用者にセキュリティ面の安全性を約束

GVA TECHが導入したPrisma Cloudは、サービスがリリースする前の2019年 10月から本番稼働を開始した。クラウドアプリケーションの開発中は、WAFの設定と の競合によってアプリケーションの稼働に支障をきたすといったトラブルに見舞われ ることもあったが、導入ベンダーのマクニカソリューションズによる手厚い導入支援に より課題を解決できたという。現在はAWS Fargateのコンテナ、仮想サーバサービス 「Amazon EC2」の一部サブシステムで動作するランタイムの保護、セキュリティコ ンプライアンスの徹底、CI(継続的インテグレーション)やレジストリスキャンのタイミ ングでの脆弱性スキャンの実施など、GVA assistの開発・運用現場における統合的 なセキュリティ管理ソリューションとして活用されている。

「Prisma Cloudを導入したことにより得られた最大の効果は、やはりGVA assist を利用するお客様に対してセキュリティ面の安全性を説明できるようになったことで す。既存のお客様には、Prisma Cloudを利用して何重ものセキュリティチェックを実 施している安心感を高く評価していただいています。これまでは明確なセキュリティ基 準が存在しませんでしたが、Prisma Cloudが新たなセキュリティ基準になったと考え ています」(岡本氏)

Prisma Cloudを実際に活用しているGVA assistの開発・運用現場でも、導入効 果を実感しているという。

「開発段階からPrisma Cloudでセキュリティチェックを行っているため、クラウドア プリケーションをスムーズに展開することができます。DevOps/SREの担当者もセキ ュリティ管理や異常検知が可能になり、セキュリティ監視・対策の運用負荷が大幅に軽 減されたことも大きな導入効果です」(西坂氏)


セキュリティ強化に向けて利用範囲のさらなる拡大を検討

いまやGVA assistのサービスにとって重要な役割を果たすPrisma Cloudだ が、GVA TECHでは利用範囲のさらなる拡大を検討しているという。

「GVA assistでは現在、プログラムコードの脆弱性に対する静的・動的解析の強化、 サービス企画段階からセキュリティを組み込んだシフトレフトの運用などを進めている ところです。さらにPrisma Cloudを活用し、CIS(Center for Internet Security) が策定したインターネットセキュリティのガイドライン『CIS Benchmarks』に遵守す る体制を整備していこうと考えています」(西浦氏)

機能面では、Prisma Cloudに実装されているWAAS(Web Application and API Security)機能の利用を検討しているほか、クラウドアカウントを管理する「AWS IAM」の保護にも適用していく予定だという。パロアルトネットワークスのPrisma Cloudはこれからも、GVA TECHが提供するクラウドサービスを守り続けていくこと だろう。