当初はクラウド型UTMにオプションとしてMSSを付与するサービス展開から始めましたが、のちにセキュリティ診断事業のサービス化を見据えていたため、まずは当社の技術力向上を目的として内製化を行うことにしました。
内製化のためのツールとして、無料の海外製診断ツールや、国産のクラウド型自動診断ツールも名前に挙がりました。それらのツールを、日本語対応していること、操作性が良いこと、検査シグネチャが充実していることなどの選定評価項目を定めて比較、検討した結果、最も高評価を得たのがVexでした。加えて、経済産業省の情報セキュリティサービス基準にVexが例示されていた点や、市場シェア率が高い製品だと、他セキュリティ事業者からの技術レクチャーや連携を見込める点も決め手となりました。
Vexは操作性もよく、付属のマニュアルも日本語で書かれていて理解しやすかったため、スムーズに導入することができました。また、Apache Log4jにおける任意のコード実行の脆弱性(CVE-2021-44228)を検出するシグネチャが迅速にリリースされたことや、パラメータ値がJSON形式のリクエストに対して検査できるようになったことなど、ニーズに沿ったアップデートが定期的に行われている点も嬉しいです。海外製のツールだと、コミュニケーションを英語でとらないといけないうえ、要望を叶えてもらうために料金を支払わなければならない可能性もあります。一方Vexはカスタマーサポートと日本語でコミュニケーションをとることができ、定期的に要望をヒヤリングしてくれるため、非常にありがたいと感じています。
内製化やセキュリティ診断事業の体制を整えるために、サポートメニューや試験も活用しました。
実際に診断サービスを提供しているユービーセキュアだからこそわかるノウハウや実例も教えていただけたため、当社でセキュリティ診断事業をサービス化するときの参考になりました。他セキュリティ事業者の場合、競合他社になることを理由にノウハウを教えてもらえない場合があるので、当社の悩みに寄り添っていただけたことは非常に助かりました。
VCA ※1は試験用に構築された診断対象サイトに対して、実際に手を動かしながら診断する形式のテストなので、実務レベルの技量を測ることができる点が良いと感じました。一方、テスト終了後の答え合わせや解説がなく、どこがどう間違っていたかを判断できなかったり、試験環境の通信が不安定で試験時間が足りなくなったりしたため、今後の改善を検討していただきたいです。
※1 Vex Certification Associate : Vex の機能を活用した脆弱性スキャンおよび結果判別を行う能力を有していることを証明する試験
九州におけるセキュリティに対する感度が現状では首都圏ほど高くなく、これから徐々に発展していくと考えられます。その発展に際し、当社の技術力による付加価値を活かしセキュリティサービス事業を展開していきたいと考えています。そのためには、引き続き当社の人材育成や技術力の向上に力を入れていきたいです。
セキュリティ業界は、たとえ競合他社であっても情報やリソースを共有するなど、横のつながりが強いという特徴を持っていると感じています。今後もユービーセキュア社とVexを軸にしたビジネスの協業など展開できれば嬉しいです。