Vex導入のきっかけは、これらの診断をツールに任せることによって、効率化を図るためでした。効率化といえども品質に手動診断との差があってはならないと、さまざまなツールをテストしましたが、数あるツールの中でも、国内製品であるVexは他社のツールと明らかに設計思想が違っていました。「ひとまずツールを走らせ、意図した通り診断できたか否かに関わらず、走り切ったら終了」という考え方のツールが多いなか、Vexは診断シナリオそのものを細かく設定できるだけでなく「診断が本当にシナリオに忠実に、意図した通り走っているか」も確認できます。そこが、我々の診断に関する考え方と非常にマッチしていました。
むしろ時間をかけたのは導入後です。手動診断とツールでの診断、それぞれの特性を最大限に活かしたいと考えたこともあり、我々の手掛ける診断項目のうち、Vexに任せられる範囲の規定、操作担当者の選定といった体制やルールは、実際に業務へ投入しながら慎重に整えていきました。当初はセキュリティコンサルタントが手動診断をする傍ら、併用してVexを操作していました。ただ、Vexの精度の高さを活かすには、相応の時間をかけて設定する必要があり、手動診断のスペシャリストがツールの操作を併用するのは効率的とは言いがたい状況でした。ツールで診断をするメリットは「誰がツールを使っても品質が一定に保たれる」ところにあるわけです。
そこで最終的に、診断作業を完全分業する方法を採用しました。Vexでの診断は、ツール操作に精通したスタッフが担当し、セキュリティコンサルタントは作業時間が短縮された分、手動診断に注力しサービスの付加価値を高めていく。人員的にも、それぞれの特性を最大限活かす形をとりました。
導入にあたり苦労したのは、Vexにはシナリオを重視するツールならではの細かい設定や機能が用意されているため、それを使いこなす難易度が高かったことです。ただ現在は、ユービーセキュアさんが操作方法などを体系立てて学べる教育メニューや研修を用意されているので、スムーズになっていると思います。
また、仕事も丁寧で品質とサポートには非常に満足しています。ただ、シナリオを重視するだけに、職人の仕事道具のようなところがあり、ユーザーにもある程度の習熟が求められます。今後、海外製品に多い“ボタンひとつで自動的に結果が出る”といったツールは、さらに増えていくと見込まれます。こうした製品に対抗するなら、我々のような診断ベンダーだけではなく、開発現場のエンジニアさんも操作しやすいようにユーザビリティを高める必要性を感じます。一方で、セキュリティ診断を専門とする我々としては、検知できる脆弱性の幅をより一層広げていただき、より多くの診断をVexに任せたいという期待もあります。
Vexも英語化して、いよいよ海外展開が間近であると伺っています。設計思想はMade in Japanそのままに、ぜひ海外でチャレンジして成功してほしいですね。他社の追随を許さない、日本を代表する国際的なブランドに育ってくれることを願っています。