CASE

導入事例

脆弱性診断サービスを提供するプロ目線で診断ツールを検討し、高品質かつ操作性の高いVexを選定。

グローバルセキュリティエキスパート(GSX)

情報セキュリティコンサルティング

導入したサービス

Webアプリケーション脆弱性検査ツールVex

導入企業様のご紹介

1997年に株式会社ビジネスブレイン太田昭和のグループ会社である株式会社ギャブコンサルティングにて、タイガーチームサービス(侵入検査/模擬攻撃検査)の提供を開始し、2000年に情報セキュリティ専門コンサルティング会社として設立されたグローバルセキュリティエキスパート株式会社(GSX)。設立当初から、セキュリティポリシーの策定ならびに、定着化支援、システム監査、内部統制支援、またタイガーチームサービスによる質の高い脆弱性診断サービス、コンサルティングを提供。情報セキュリティの問題点を総合的にとらえ、専門家として常に最新の技術を習得し、ハイテク犯罪やサイバーテロに対抗しうる社会基盤の構築とともに、企業の情報管理態勢強化の支援にも取り組んでいる。

http://www.gsx.co.jp/

case-img09-2
取締役経営企画本部長
兼 営業本部長

青柳 史郎 様

case-img09-3

サイバーセキュリティ事業部
タイガーチームサービス部
プリンシパル

野口 良樹 様

※所属部署、肩書などは取材当時のものです。

課題

  • ホワイトハッカーによる調査では、多くの企業にとってコストが掛かりすぎていた
  • 海外のツールではレポートを翻訳する必要があった
  • セキュリティベンダーのリソースが不足するタイミングが発生し、サービスのリリースが遅れることがあった

得られた効果

  • 他ツールと比較して誤検知の少なさが突出。検出結果を精査する手間が省けて工数とコストの削減につながった
  • 国産のツールのため、日本人になじみのあるボタン配置や設計で非常に使いやすくエンジニアの負担が減った
  • 顧客企業がセキュリティベンダーだけに頼らず、自分たちである程度の診断ができるようになり、セキュリティ管理体制強化を実現

目次

    お客様にとって効率的で優先度の高い診断プランを提供

    case-img09-4GSXでは、ハッカーと同様の技術を持つ専門エンジニア(ホワイトハッカー)がお客様のネットワークシステムに疑似攻撃を実施し、実害につながりうるシステム内の脆弱性を検出し、対策方法を含めてご報告する「タイガーチームサービス」という脆弱性診断サービスを提供しています。
    GSXならではと言えるサービスの特徴は、数ある診断方法・対象のなかから、お客様の目的に沿った具体的なプランをご提案するところです。診断方法としては、ホワイトハッカーの手動オペレーションによる、高度な診断を基本メニューとしています。
    脆弱性診断において、すべての診断対象に対しホワイトハッカーによる手動オペレーションを実施し高精度を追い求めることは理想と言えます。しかし、同時に膨大なコストが発生するため、多くの企業にとって現実的なプランではない場合もあります。
    私たちは、お客様にとって優先すべき課題・対象を調査し、脆弱性とそれによるセキュリティ事故発生の可能性や影響度などをしっかりと見極めた上で、お客様にとってより効果的で優先度の高い対策をご提案しています。それは、結果的にセキュリティ対策コストを抑えることにつながります。
    ご提案の時点で、営業担当者だけでなく、ホワイトハッカーが直接、実際のサイトを調査してプランを策定できる体制もGSXならではの強みと言えます。

    脆弱性診断サービスを提供するプロ目線でVexを選択

    case-img09-5GSXが提供する脆弱性診断サービスにおいて、Webサイトの診断対象のボリュームを優先される企業様向けのサービスを提供するために、2010年から診断ツールとして採用しているのがVexです。診断サービスを提供する側として、ツールの選定は慎重に検討を重ねていきました。脆弱性検出率の高さはもちろんですが、最も重要視したのは“誤検知の少なさ”です。ツールによる診断には少なからず誤検知はつきものです。診断スピードが速かったとしても誤検知があるとそれらを精査する作業をエンジニアがひとつひとつ確認する必要があり、とても効率的とは言えません。ツールを比較検証する中で、突出して誤検知が少なかったのがVexでした。
    Vexは2016年にGUIを大きく変更しました。それまでに蓄積されたデータ分析をもとに大幅なGUIの改修を行っており、改修直後はあまりの変化に驚きましたが、実際に使ってみると直感的に操作しやすいだけでなく、国産製品ならではの、日本人になじみのあるボタン配置や設計など、非常に使いやすいとエンジニアの間でも好評です。また、日本語による多彩なレポート機能も侮れません。競合製品のほとんどは海外製のため英語のレポートを翻訳する必要があります。Vexのレポートは日本語であるだけでなく、開発者向けのチェックリストや、サイトオーナー向けの詳細レポート、セキュリティサービスベンダー向けの検出結果サマリレポートなど、求められる用途に応じたさまざまなフォーマットでのレポートを出力することが可能です。実際、日本企業のユーザーからのさまざまなリクエストを機能へ反映しているため、まさに、かゆいところに手が届く設計であると感じています。こうした視認性や操作性の高さもVexの大きな評価ポイントです。

    Vexによる企業のセキュリティ管理体制強化を提案

    case-img09-7昨今、Webアプリケーションサービスの拡大、それに伴い増加し続けるセキュリティ事故を背景に、ますます脆弱性診断の需要は高まっております。以前は大規模なWebサイトを長期にわたって診断する依頼がほとんどでしたが、近年は中規模なWebサイトであっても公開前や公開後の定期的な診断を要する企業様が増えてきている傾向にあります。その結果、診断の依頼が集中する時期はセキュリティサービスベンダーのリソースが枯渇し、診断時期が先延ばしになることも多く、それにより診断サービスの機会損失やセキュリティリスクの放置という問題につながっています。例えば、企業でECサイトをオープンする予定があるのに脆弱性診断が間に合わず、予定日にローンチできないといった問題が頻発しているのが現状です。
    そこで、GSXは、Vexの販売代理店として、お客様ご自身が診断ツールを使用できるようご提案しております。現代のサイバーセキュリティには「多層防御」が不可欠です。複数の防御の“層”を作り、一つの層が破られても別の層で守られるという考え方です。高精度のツールを自社で使うことができれば、新しいWebサービスの公開時や定期的な診断など、企業が必要とするタイミングで脆弱性診断を行うことができます。人間の健康管理に例えると、“日々の体温計測定”としてVexによる定期診断を行い、それだけではセキュリティホールを見落としかねないので、“年に一度の人間ドック”としてベンダーによる手動診断を実施することで多層防御の実現を目指します。
    お客様自身が診断ツールを使用する場合、視認性・操作性の高さがより重視されます。その点で、私たちはVexユーザーとして何より使いやすさを実感しておりますので自信を持って提供しています。また、ユーザーであるからこそVexのノウハウ・知見も多く蓄積しておりますので、お客様にもホスピタリティの高いサポートを行うことができます。
    顧客サポートについては、ユービーセキュアさんからも丁寧かつ迅速にご対応いただいているので安心してご案内しています。今後ともユービーセキュアさんと足並みをそろえて、高品質かつ安心のサービスをご提供し続けたいと思っております。

    case-img09-6

    取材を終えて ~ユービーセキュアより~

    これからもWebアプリケーションセキュリティを支えるパートナーとして
    今回は診断ベンダーと販売代理店、両方のお立場から導入事例の取材にご協力いただき、まことにありがとうございます。GSX様が提供されている脆弱性診断サービス、ならびにお客様への診断ツールご提案に弊社製品がお役にたっていることをお伺いでき、大変嬉しく思います。これからもご意見ご要望に真摯に対応し、より良い製品開発に取り組んでまいる所存です。

    グローバルセキュリティエキスパート(GSX)

    情報セキュリティコンサルティング

    URL:http://www.gsx.co.jp/