顧客課題の中でセキュリティは無視できない要素に。わかりやすいレポート生成機能を備えたVexで新たなニーズに対応。

セキュリティの担保もお客様が抱える課題の一つ

DIVXはITにまつわる課題を解決することを通して、お客様のデジタルトランスフォーメーション（DX）を支援してきました。今やITの課題は、何か特定の一つのシステムや機能だけで解決するものではなく、お客様のあらゆる領域、あらゆるビジネスにまたがるものとなっており、セキュリティも無視できない重要な要素です。セキュリティをしっかり担保し、安心して活用できる環境を整えていかなければ、真にお客様の課題を解決したとは言えないと考えています。

こういった背景からDIVXでは、お客様のニーズに応じてセキュリティ診断をソリューションの一環として手がけ始めました。世の中を見回しても、アジャイル開発に適応した品質管理やセキュリティ検査に関するノウハウはまだ確立できていない部分がありますが、小回りが効くDIVXの強みを生かすことで、スピーディな開発とセキュリティの両立を実現できるのではないかと考えています。

ただ、元々開発を主な業務としてきた会社の性質上、当時のDIVXにはセキュリティ分野の専門家が十分にいる状態ではありませんでした。開発スケジュールや工数とのバランスを取りながら脆弱性を検出する手段として着目したのがセキュリティ診断ツール、具体的にはVexで、IASTなど他のセキュリティテストツールによる検査を補完し、セキュリティが確保されたソリューションを提供するための手段として採用しました。

わかりやすいレポートを自動生成し、エンジニアの負荷を大幅に軽減

Vexを選んだ決め手はいくつかありますが、最も大きなポイントはわかりやすいレポートを簡単に作成できることでした。デフォルト状態でも、お客様に成果物として提出するのに十分な内容が生成されますが、さらにカスタマイズを加えることで、細かなニーズに応えたレポートを作成できます。

もし手動で診断を行っていたならば、「どんな脆弱性が見つかり、それにはどんなリスクがあり、どのような対策が望ましいのか」といった事柄を手動で入力していく必要があり、多くの時間を費やすことになります。Vexではそういった事柄をすべて自動で出力してくれるため、こちらはちょっと手直しを加える程度で済みます。このため、診断エンジニアのリソースを肝心の診断部分に注ぐことができています。

ちなみに、導入後もVexでは継続的にさまざまな機能強化が加えられています。つい最近も、グラフを差し込んだり、サーバ検査の内容を省いて必要な情報のみを出力可能な機能が加わったり、我々も便利に活用しています。

もう一つのポイントは、スピーディで手厚いサポート体制です。導入を検討し、Vexをテスト的に使い始めた当初は「これはどのように設定すればいいのだろう」と悩むこともありました。しかしユービーセキュアにコンタクトを取ると、すぐに開発者も同席してもらう形でオンラインミーティングを設けてもらい、不明な点を解消できました。こうした姿勢ならば導入後も安心して使えると確信できました。時には、エンジニアとしての技術的好奇心からわいてくる疑問にも回答いただけています。

エンジニアとしての視点では、「どのようなリクエストを送った結果、どういったレスポンスが返ってきたため、脆弱性として検出されたのか」が明瞭にわかる点にありがたみを感じています。「なぜこの問題が脆弱性として検出されたか」の理由がはっきりわかり、説明できることが重要です。Vexの設定や出力でわからないことがあっても、FAQや公式ドキュメントを参照すればたいていのことは解決できますし、サポート窓口に問い合わせると、こちらの予想よりもすばやく回答をいただけています。

Web開発の動向を見ると、昔ながらのスタティックでシンプルなWebページもありますが、DXを支える新しいWebサービスを担うサイトは複雑化する傾向にあります。フレームワークや開発環境の進化もあって、SQLインジェクションやクロスサイトスクリプティングといった典型的な脆弱性の作り込みは減る傾向にある一方、思わぬところで危険な情報を保持して露出するリスクもあるのですが、VexではCookieやセッションID、トークンといったパラメータを必要に応じて保持し、引き継ぎながら検査ができるためしっかり脆弱性をチェックできる点にも助かっています。

豊富な実績を持つVexを用いたセキュリティテストが顧客の安心につながる

さまざまな不正アクセス事件を受け、今やお客様側も、納品されるアプリケーションやシステムに脆弱性がないか、しっかり確認したことの証明を求めるようになってきました。そうしたときに、金融機関をはじめ国内で多くの実績を持つVexでセキュリティテストを行うことがお客様の安心につながっています。また、我々は開発体制を備えているため、その後の修正についてもコミュニケーションコストがかからずスムーズに行えるというメリットがあり、新たなご相談や案件につながっていると営業からも聞いています。

まさに今、AI技術がものすごいスピードで進化しており、この先、開発環境やサービス提供のあり方も根本的に変化するかもしれません。しかしいつになっても、セキュリティを担保するというニーズは存在し続けるでしょう。セキュリティ診断についても、ある程度は自動化できるにしても、最後に確かめるのは人間の目だと考えています。DIVXでは、Vexが人間と共存し、過不足なく情報を提供して人間の意思決定をより手助けしてくれるようなツールに進化してくれることを期待しています。

また、デジタル化の中で変革のスピードが求められ、そのためにDevOpsと言う形で開発者と運用担当者の垣根がなくなってきたのと同じように、セキュリティもエンジニアの一素養になっていくと考えています。たとえば「AWSで環境が構築できます」「Reactが書けます」というのと同じレベルで、「セキュリティがわかり、Vexが使えます」ということをエンジニアの重要なスキルの一つとして位置づけ、DIVX社内で活用できる人を増やしていきたいと考えています。