- 課題
- スペシャリストが人の手で深く丁寧に見ていく診断サービスの性質上、「すべてのページを網羅的にチェックしてほしい」という要望に対応しきれなかった。
- 導入
- 「AeyeScan」はセキュリティ診断を内製化したい企業でも使えると評価、2021年11月にAeyeScanを活用した「Quick WATCH」サービスの提供を開始。
- 効果
- これまでコストや時間、リソースの問題でやむを得ず対象外としてきたページの診断が可能になるだけでなく、半日かけていた見積もり時間が10分と大幅に短縮できた。
背景
ラックは、システムインテグレーションとサイバーセキュリティの両面で事業を展開し、国内におけるセキュリティサービスの草分け的存在となってきた。2000年から開始したセキュリティ監視センター「JSOC」によるセキュリティ運用監視サービスをはじめ、セキュリティインシデント発生時の緊急対応サービスやセキュリティ教育など、幅広いセキュリティソリューションを展開している。
ITシステムやWebアプリケーションに外部から悪用可能な脆弱性や設定不備がないかをチェックする「セキュリティ診断サービス」も、主要なセキュリティサービスの1つだ。ラックが長年開発・改良を続けてきた独自の検査ツールと専門家の手によって、SQLインジェクションやクロスサイトスクリプティングといった、悪用されると深刻な事態につながる脆弱性を見つけ出し、報告することで、個人情報の漏洩や金銭的な被害を未然に防ぐ手助けを行っている。
「ツールによる診断に加え、専門知識を持った診断員の手作業によって、かゆいところに手が届く診断を提供してきました」と、デジタルイノベーション事業部 セキュリティアセスメント部 副部長 柳澤伸幸氏は語る。ただ問題点を見つけるだけでなく、アプリケーションの性質や使われ方を踏まえてどこをどのように診断すべきかを検討する診断前のコンサルティングや発見された脆弱性への対応指針といった部分まで含め、全体的に支援できることも特徴だ。
ラックがセキュリティ診断サービスを展開し始めてから二十年以上が経った。その間、Webアプリケーションがカバーする領域は広がる一方で、個人が利用する多様なサービスはもちろん、企業システムや公的機関でも重要な役割を担っている。開発手法も変化し、仕様を決めてコーディングを行い、最後にテストや脆弱性診断を行うまでを数ヶ月単位で行うウォーターフォール方式から、1〜2週間といったサイクルでこまめに開発とテスト、リリースを繰り返すアジャイル開発が広がってきた。
これに伴い、「頻繁にバージョンアップするため、改修を加えるたびに外部に診断を依頼しているとうまく運用できないし、コストもかかるため、自分たちの手でセキュリティ診断を行えるようにしたい」という声も高まってきている。ラックではこうしたニーズに応え、セキュリティ診断の内製化を支援するコンサルティングサービスも提供し始め、開発と運用、セキュリティを一体化したサイクルを回すDevSecOpsの推進にも取り組み始めている。
課題
安全なWebアプリケーション開発に関するノウハウが徐々に蓄積され、ツールや開発フレームワークの改善も進み、深刻な脆弱性が検出される割合は減少しつつある。とはいえ、人間の作るものである以上、脆弱性はなくなることはなく、実際に攻撃ターゲットになってしまう事件も起こってきた。その上前述の通り、Webアプリケーションが果たす役割が高まり、重要なデータを扱う場面も増えたことから、セキュリティ診断サービスに対するニーズは高まる一方で、年度末などには依頼が集中し、応えきれなくなる事態も増えてきた。
ラックも例外ではなく、教育を通して要員を増やしているものの、「すぐに見てほしい」といったニーズの高まりになかなか応えきれない状況が続いてきた。デジタルイノベーション事業部 セキュリティアセスメント部長の西村篤志氏は、「スケジュールやコストの面で、お客様のご要望にすべて応えることができないケースがありました」と振り返る。
特に、スペシャリストが人の手で深く丁寧に見ていくサービスの性質上、「すべてのページを網羅的にチェックしてほしい」という要望になかなか対応しきれなかった。「セキュリティ検査を行う側の視点からは、似たような作りのページのうち1つを検査して問題がなければ、残りのサービスも大丈夫だろうと判断できるのですが、お客様からはやはり、すべて検査してほしいという声が根強くありました」(西村氏)
ソリューションの選定
そうした時に耳に入ったのが「AeyeScan」の存在だった。常々Webアプリケーションのセキュリティに関心を持ち、情報交換を行っているエンジニアのつながりを通して技術評価の依頼があり、早速検証してみることにした。
検証に当たったデジタルイノベーション事業部 セキュリティアセスメント部 第二グループ GLの久原和起氏は、「たとえば海外製の脆弱性スキャナだと、英語のマニュアルを読み解きながら苦労して使う必要がありましたが、AeyeScanには、日本人が作ったツールならではのきめ細かな配慮があり、使いやすいな、というのが最初の感想でした」と振り返った。
それでいて、OWASP TOP 10に含まれる主な脆弱性を取りこぼすことなく検出できることも確認できた。「それほど手間をかけない割に、非常に高品質な結果が出てくるところも印象的でした」(久原氏)
さらに、「これまでWeb診断を行うには、パラメータをはじめ細かな設定が必要で、Webサイトの構造や脆弱性の仕組みに詳しい必要がありました。AeyeScanであれば、SaaSサービスでFQDNを登録するだけでサイトを巡回し、脆弱性を見つけてくれるため、調査コストが大幅に削減できると判断しました」(久原氏)
特に、これだけ手軽に使えるのであれば、ラック自身のセキュリティ診断サービスでの活用はもちろん、セキュリティ診断を内製化し、設計や開発の初期段階からセキュリティを組み込むシフトレフトに取り組みたいと考える企業でも使いこなせると判断した。
導入効果
こうした検証を経てラックはエーアイセキュリティラボと業務提携を結び、2021年11月に「Quick WATCH」サービスの提供を開始した。
Quick WATCHは、従来のセキュリティ診断サービスを置き換えるものではない。これまで、コストや時間、リソースの問題でやむを得ず検査対象外としてきたより多くのページについても、AIとRPAを組み合わせて診断を実施できることが特徴の1つだ。
また、ツールによる検査と、ラックのスペシャリストによる事前準備や検出された脆弱性への修正方針策定といった専門的なサービスを組み合わせることで、網羅性と手厚い支援の両方が得られることになる。また、セキュリティ人材が足りず、診断の内製化になかなか踏み込めなかった企業でも、ハードルを下げることができる。
「AeyeScanを活用して網羅的な検査を提供すると同時に、大事なところは深掘りして見てほしいというご要望に対しては、われわれのスペシャリストの手でしっかり見ていきます。診断の目的に合わせて使い分けていければと考えています」(西村氏)
すでにQuick WATCHに対して、「とにかくスピード優先で、急ぎで診断を行いたい」「脆弱性修正後の再検査もセットで実施してほしい」と考える企業からの問い合わせが入っている。
「これまでも、一度検査して見つかった脆弱性を直した後に再診断してほしいというニーズはありましたが、改修が予定通りに進むかどうかは事前にわからないため、スケジュール調整が難しい部分がありました。AeyeScanを活用すれば、そうしたニーズにも応えることができます」(柳澤氏)
診断の現場では、診断前の見積もりに要する工数を大幅に簡略化できるメリットも得られた。「診断をお引き受けする前には、お客様のサイトにどのくらいの画面が含まれるかを確認する見積もり工程が必要です。大事な作業ですが、これまでその工程に半日から一日くらいの時間を要していました。それがAeyeScanを活用すれば5分、10分といった時間で可能で、われわれの手間が減るだけでなく、お客様にもメリットになります」(柳澤氏)
今後の展開
ラックではAeyeScanを採用することで、より多くの顧客に対し、網羅的な検査が提供できると期待している。「これまで、お声がけいただいたり、せっかく頼ってもらったにもかかわらず、タイミングの問題でお応えできなかったお客様もありました。そこに対してもう一歩、二歩、幅広いレンジでご支援できるのは大きいことだととらえています」(西村氏)
また、機械的な作業をツールに委ねることで、スペシャリストの能力を、人間ならではの専門性が求められるより深い問題、本質的な問題の指摘といった分野で発揮できるようになるとも考えている。「診断自体はツールでかなりの程度カバーできるようになるでしょう。一方、お客様のポリシーや業態、守るべきものと照らし合わせながら、検出された脆弱性のリスク評価を行うといった作業は、人手でやらなければいけない部分です。そういった部分で、ラックとしての付加価値を出していければと考えています」(久原氏)
デジタルトランスフォーメーション時代を控え、Webアプリケーションが果たす役割はさらに高まっていくはずだ。ラックではAeyeScanを活用しながらDevSecOpsの実現を支援し、安全なアプリケーションをよりスピーディに開発していける世界を作り出そうとしている。
