「私はつい数ヶ月前まで開発メンバーとして、直接クライアントとやり取りする立場で働いていました。セキュリティの問題に関してクライアントにご説明する時に難しいのは、“脆弱性に対するチェック対策を強化しました”とお伝えしたとしても、それが決して見た目には表れないことです。使い勝手や機能のように利便性の向上が実感できるものではないので、“そんなにそこにお金を費やすべきなんですか?”と疑問に思われてしまいがちです。ところがここ数年、個人情報・機密情報の流出が起きています。“次は自分たちの身の回りで起こるかもしれない”という危機感が大きく広まり、最近ではクライアントから “セキュリティ面を強化したい”といったご相談を受けることが増えてきました。従って、私たちも、“これならセキュリティも万全!”と自分たちが納得したうえでアプリケーションを納品することが、開発者の義務だと考えるようになりました。至極当然の展開だったと言えます」(片岡)
「実際にVexを使ってみて、いくつもの発見と業務上の変化がありました。まず私が実感したのは、以前使っていたツールとは“設計思想や機能の深さが全く違う!”ということですね。以前のツールではWebサイトの巡回をしたらすぐに検査がはじまり、ボタン一つで診断という流れでした。Vexの場合は全てツール任せにするのではなく、サイト巡回後にユーザー自身が目的に応じて最低限の設定をする必要があります。最初はその設定画面に表示される言葉の意味も分からなかったのですが、一度覚えてしまえばその後は全く大丈夫でした」(瀧川)
「以前のツールでは“本当にこの検査結果は正しいの?”と疑問に思うことも多々ありましたが、その疑問を解消する手段はありませんでした。Vexを使うようになってからは、詳細な設定ができるので検査結果により自信が持てるようになりましたね。一見、以前のツールのほうが簡単で楽に思えるのですが、検査内容の幅広さや検査結果の信頼性については、断然Vexのほうが優れていると感じました」(瀧川)
「併せて、以前の課題であった複数サーバの検査についても問題なく解決できたため、最終的にVexの採用を決定しました。Vexの採用後は、より多くの開発案件が検査を受けることになり、自ずと部内開発者のセキュリティに関する意識が高まりましたね」(片岡)
「脆弱性検査ツールを使う理由は、クライアントに対してきちんとした基準に則って“誰が検査してもこの結果になります”、と客観的に説明できることにあると思います。手作業で検査すると、検査する人のスキルによって検査結果が変わってしまう可能性があり、検査品質にバラツキが出てしまいます。開発者はセキュリティの専門家ではありませんから、脆弱性検査についてはVexを使って客観的に検査することがベストでしょうね」(瀧川)
「2000年代中盤あたりに、ウェブの脆弱性が非常に問題になったことがありました。それに近いことが、今度はスマートデバイスの分野で起きています。急速に普及しているデバイスですから、セキュリティ対応がまだ追いついていないんですね。当社でもスマートデバイス対応の開発案件が増えており、検査をもっと効率化したいと考えています。ユービーセキュアさんには我々のニーズを先取りした検査ツールを他社に先駆けてつくってほしいと願っています」(大熊)