- 課題
- ツールをインストールした後の環境構築やシナリオ作成が必要で、診断開始までに時間と工数を要していた
- 導入
- 検出精度に問題がなく、SaaS形式ですぐに導入でき、セットアップに要する時間を短縮できることを評価
- 効果
- 診断に当たる開発者の負荷軽減につながっただけでなく、自律的に診断を行う機会が増加
背景と課題
富士通は、社会インフラや金融、公共分野をはじめ、幅広い業界に向けてITシステムの構築・運用サービスを提供している。その中で欠かせない要件が、セキュリティの担保だ。もしシステムに残っていた脆弱性が悪用され、不正アクセスを受ければ、顧客のみならず、そのサービスを利用している多数のユーザーにまで深刻な影響が及んでしまう。
こうした事態を避けるため、同社は10年以上にわたり全社的なセキュリティ強化に取り組んできた。
「“富士通総合レポート”でも公表しているとおり、全体的なセキュリティ施策を推進し、体制を整えながら継続的なレベルアップに努めています」(情報セキュリティ本部 デジタルセキュリティ統括部 マネージャー 神山秀一氏)
その一環として取り組んでいるのが、提供するWebアプリケーションやパッケージの脆弱性診断だ。
「開発部門のシステムエンジニアが、オンプレミス型のDAST(Dynamic Application Security Testing)ツールを用いて検査を実施し、検出された脆弱性を修正した上でインターネットに公開していました」(情報セキュリティ本部 デジタルセキュリティ統括部 冨谷峰明氏)
しかし、その運用にはいくつかの課題があった。オンプレミス環境での診断を前提とするため、ツールのインストールや環境構築に手間がかかり、開始までに多くの時間と工数を要していた。また、ツール操作やシナリオ作成の難易度が高く、一般的なSEが扱うには学習コストが大きかったという。その結果、情報セキュリティ本部 デジタルセキュリティ統括部にSEから問い合わせが寄せられるケースも少なくなかった。
ソリューションの選定
そうした中で情報を得たのが、当時リリースされたばかりのAeyeScanだった。
「オンプレミス型ではなくSaaS型のサービスであるため、ツールのインストールや環境構築に要する時間と工数を大幅に削減でき、即座に診断を開始できる点に魅力を感じました。また、AIによる自動巡回でシナリオを作成できることから、開発現場が抱えていた負荷や課題を解決できるのではないかと考えました」(冨谷氏)
とはいえ、すでに活用しているDASTツールがある以上、富士通が求める要件を満たせるかどうか、検証を通じて慎重に見極める必要があった。
「検出精度や環境構築の期間、診断にかかる時間やSEの手間などを比較検証していきました。その結果、検出精度に大きな差はなく、むしろAeyeScanは誤検出や過剰検出が少ない印象を受けました。セットアップ時間についても、SaaSへアクセスするだけですぐ診断できるため、大幅に短縮できることが確認できました」(冨谷氏)
実際、以前は設定だけで3日間を要していた作業が、数時間で完了するケースも確認された。また、それまで大きな負荷となっていた診断前のシナリオ作成も、AIによる自動巡回で工数を最小化できると考えたという。
また、コスト面でも深い議論がなされた。単純にライセンス費用のみを比較すると、既存のオンプレミス型ツールの方が安価に見える。しかし、「環境構築や診断に費やす人件費・時間も含めて考えれば、決して高いとは思いませんでした。この先、診断する人が増えれば増えるほど、コスト効率は高まると判断しました」(情報セキュリティ本部 デジタルセキュリティ統括部 山村泰夫氏)
こうした評価を経て、開発者の負担軽減と、提供するWebアプリケーションのセキュリティレベルを効率的かつ継続的に高める上で有効な基盤であると判断し、AeyeScanを診断体制に組み入れることにした。
導入効果
富士通では2022年からAeyeScanの活用を開始した。時期によって変動はあるものの、社内の専用フォームを通じて月に20〜30件の申請が寄せられ、それに応じて診断用のアカウントを払い出す運用が定着している。また、シングルサインオン(SSO)を構築し、社内からのみアクセス可能な形としたことで、外部からの不正利用を防いでいる。
インターネットから隔離されたオフライン環境での診断が求められるプロジェクトでは、従来のオンプレミス型ツールを使用し、それ以外のケースではAeyeScanの利用が進んでいる。
「どちらのツールを使うかは開発者の判断に任せていますが、簡単に操作できることもあり、徐々にAeyeScanを選ぶケースが増えています」(冨谷氏)
既存ツールの操作に慣れていると新しいツールに抵抗を感じがちだが、現場の開発者からは「楽になった」と好意的な評価が寄せられている。
「設定に迷うこともなく、自動巡回でシナリオが作成され、ボタン一つで診断が完了します。この “待つだけで結果が得られる” 体験が、現場でのAeyeScan利用を後押ししたと感じています」(山村氏)。
また、過剰検出が少ないことから、診断結果のトリアージにかかる時間も削減された。充実したドキュメントにより自己解決率が高まったことで、デジタルセキュリティ統括部への操作に関する問い合わせも減少しているという。
「AeyeScanは、開発者が主体的に診断・修正のサイクルを回す上で重要な基盤です。Webアプリケーションのセキュリティ診断において、手軽さと効率性を両立できるツールだと思います」(冨谷氏)
今後の展望
今後も富士通では、SaaS型のAeyeScanとオンプレミス型の既存ツール、それぞれの特性を活かしたハイブリッドでの診断運用をさらに強化していく方針だ。
「オンプレミス型によるオフライン診断能力を維持しつつ、AeyeScanの迅速性と簡易性を最大限に活用することで、多様なプロジェクトのニーズに即応できる体制を構築し、お客様へ安心な環境を提供していきます」(神山氏)
ASMなどを通じた包括的なセキュリティ担保にも取り組みながら、AeyeScanを“開発者の自律的なセキュリティ診断を促進する中核ツール”と位置づけ、漏れのない脆弱性対策を継続していく。
ツールを使いこなす人材の育成にも引き続き注力していく考えだ。AeyeScanの診断結果やエーアイセキュリティラボが持つ知見を活用しながら、開発者一人ひとりのセキュリティリテラシー・スキルの底上げを図っていく。
