ここがポイント!
・使いやすい操作性、日本語サポートにより導入がスムーズ
・検査シナリオ作成や検査結果の確認を手動で実施するからこそ見込める診断スキルの向上
・内製化やセキュリティ診断事業のサービス化にあたり、ユービーセキュアのノウハウや実例も参考
セキュリティ診断のサービス化を見据えて内製化を検討
QTnetでは、法人のお客様の課題やニーズに対し、ICT技術を活用して解決へと導く『QT PRO』ブランドのもとに高品質なネットワークやソリューションサービスを展開しています。私たちはこのサービスの一環として、主に九州のお客様に向けたセキュリティ商材の提供や、当社のセキュリティサービス構築をミッションとしています。
当初はクラウド型UTMにオプションとしてMSSを付与するサービス展開から始めましたが、のちにセキュリティ診断事業のサービス化を見据えていたため、まずは当社の技術力向上を目的として内製化を行うことにしました。
診断スキルの向上も見込める、純国産ツールという魅力
内製化のためのツールとして、無料の海外製診断ツールや、国産のクラウド型自動診断ツールも名前に挙がりました。それらのツールを、日本語対応していること、操作性が良いこと、検査シグネチャが充実していることなどの選定評価項目を定めて比較、検討した結果、最も高評価を得たのがVexでした。加えて、経済産業省の情報セキュリティサービス基準にVexが例示されていた点や、市場シェア率が高い製品だと、他セキュリティ事業者からの技術レクチャーや連携を見込める点も決め手となりました。
自動診断ツールは、検査シナリオの作成から診断までをすべて自動で行ってくれるため、誰でも使いやすいツールであることは理解していました。しかしながら、セキュリティ事業のサービス化を見据えたときに、手動で実施すべき手順が多くとも、診断スキルの向上に繋がるような学びを得られるVexのほうが適していると判断しました。また、自動診断ツールが自動的に作成する検査シナリオは満足できる精度ではなかったため、手動でも検査シナリオが作成できるVexに魅力を感じました。
Vexは操作性もよく、付属のマニュアルも日本語で書かれていて理解しやすかったため、スムーズに導入することができました。また、Apache Log4jにおける任意のコード実行の脆弱性(CVE-2021-44228)を検出するシグネチャが迅速にリリースされたことや、パラメータ値がJSON形式のリクエストに対して検査できるようになったことなど、ニーズに沿ったアップデートが定期的に行われている点も嬉しいです。海外製のツールだと、コミュニケーションを英語でとらないといけないうえ、要望を叶えてもらうために料金を支払わなければならない可能性もあります。一方Vexはカスタマーサポートと日本語でコミュニケーションをとることができ、定期的に要望をヒヤリングしてくれるため、非常にありがたいと感じています。
診断を行っているユービーセキュアだからこそ提供できる支援サービス
内製化やセキュリティ診断事業の体制を整えるために、サポートメニューや試験も活用しました。
サポートメニューの一つである体制構築支援では、診断対象サイトを使いながら、診断対象ログの選定評価基準や診断にあたっての準備など、一連の流れをレクチャーしていただいたため、内製化に向けて何ができるようになれば良いかを理解することができました。また手動診断トレーニングも受講したことで、Vex の検出結果だけでは判断できない部分を手動で確認することができるようになり、脆弱性の検出結果に対する確証を持てるようになったと感じます。
実際に診断サービスを提供しているユービーセキュアだからこそわかるノウハウや実例も教えていただけたため、当社でセキュリティ診断事業をサービス化するときの参考になりました。他セキュリティ事業者の場合、競合他社になることを理由にノウハウを教えてもらえない場合があるので、当社の悩みに寄り添っていただけたことは非常に助かりました。
VCA ※1は試験用に構築された診断対象サイトに対して、実際に手を動かしながら診断する形式のテストなので、実務レベルの技量を測ることができる点が良いと感じました。一方、テスト終了後の答え合わせや解説がなく、どこがどう間違っていたかを判断できなかったり、試験環境の通信が不安定で試験時間が足りなくなったりしたため、今後の改善を検討していただきたいです。
※1 Vex Certification Associate : Vex の機能を活用した脆弱性スキャンおよび結果判別を行う能力を有していることを証明する試験
九州におけるセキュリティの発展と、業界同士の繋がりに期待
九州におけるセキュリティに対する感度が現状では首都圏ほど高くなく、これから徐々に発展していくと考えられます。その発展に際し、当社の技術力による付加価値を活かしセキュリティサービス事業を展開していきたいと考えています。そのためには、引き続き当社の人材育成や技術力の向上に力を入れていきたいです。
セキュリティ業界は、たとえ競合他社であっても情報やリソースを共有するなど、横のつながりが強いという特徴を持っていると感じています。今後もユービーセキュア社とVexを軸にしたビジネスの協業など展開できれば嬉しいです。