Webアプリケーション脆弱性検査ツール「Vex」の導入事例｜株式会社NTTPCコミュニケーションズ様

社内共通の診断ツールとルール整備で標準化された診断体制を目指す

NTTPCコミュニケーションズ（以下「NTTPC」）は、回線サービスを軸に、ホスティングのほか、運用監視をセットにしたマネージドサービスなど付加価値の高いサービスを提供してきました。

「昨今ではお客様のセキュリティに対する関心が高まっており、サービス提供者である我々のセキュリティ体制について質問が寄せられるケースも増えています。そうしたなかで情報セキュリティ推進室では、お客様の情報資産やビジネスを最優先に考え、安心して我々のサービスをご利用いただくための活動に取り組んでいます」（渡邊氏）

NTTグループ全体でさらなるセキュリティ水準の向上が求められていることも背景に、ISMS認証継続のための活動、CSIRT整備などの取り組みと並行し、約10年前からVexを利用してWebアプリケーションの脆弱性診断に取り組んできました。それ以前は部署ごとにばらばらのツールを用いて診断を行っており、全体の統制が取りにくい状況にありました。そこで、共通のルールに基づいて漏れなく管理できるように社内共通の診断ツールを導入することに。数ある診断ツールのなかでもVexを採用しました。

理由は主に2つあります。1つ目は、日本のベンダーが開発する純国産ツールであることへの安心感。もう1つは柔軟なサポート体制です。導入と同時に「どのような場合に、どういった頻度で診断するか」という脆弱性診断の実施ルールを策定し、社内でも徐々に浸透していきました。

しかし実際に診断を始めてみると、診断を実施する担当者の習熟度にばらつきがあり、十分に診断できていないケースがありました。また、Vexが指摘した脆弱性への対応方針が適切か、自分たちだけでは判断が難しいケースがあり、このままでは診断の独り立ちも難しいと考え、第三者評価を受ける必要性を感じ始めました」（松中氏）

包括的な支援サービスを通して脆弱性への対応方針をチェックし、疑問もすぐに解消できる体制へ

NTTPCはまず、ユービーセキュアが提供するVexの「ハンズオントレーニング」を導入し、実際に診断作業を担う30名のエンジニアを対象に、診断スキルの底上げを図りました。

これにより一定程度のスキルアップにつながったものの、「Vex診断作業の妥当性や検出結果を適切に評価できているか」という疑問が残っていました。自分が主管するシステムだからといって開発の都合上でついついリスクを甘めに見積もり、対策の優先度を下げてしまう事態は避けたいと考えました。

こうした悩みを率直にユービーセキュアに相談したところ、提案されたのが、NTTPCの「Webアプリケーションの脆弱性診断の内製化」という課題に沿ってカスタマイズされた、3つの内製化支援コンサルティングサービスでした。

1つ目は脆弱性診断の結果評価コンサルティングです。診断結果を情報セキュリティ推進室で確認するだけでなく、ユービーセキュアと共有し、診断の不備がないか、対応方針は妥当かどうかを、セキュリティの専門家であるコンサルタントから、第三者目線でのチェックを受けます。

2つ目は「個別相談会」で、情報セキュリティ推進室はもちろん、時には実際にシステムの開発および診断に当たる担当者とユービーセキュアのセキュリティコンサルタントが直接ミーティングし、個別の質問に答えていただく機会を設けました。

3つ目はナレッジ蓄積の支援でした。NTTPCの診断方法やプロセスを踏まえた上で、改善できる点や補える点をドキュメント化し、提供していただきました。

診断結果により自信が持てるようになり、エンジニアのスキル底上げにも効果

支援サービスの効果は大きいものでした。まず、「セルフ評価」ではなく、ユービーセキュアという外部の専門家による評価も加味することで、診断で指摘された脆弱性への対応方針の妥当性に信頼が持てるようになりました。

「そのシステムがどんな環境にあり、どのようなユーザーに利用されているのか、またその脆弱性が単独で危険なのか、他の脆弱性と組み合わせてはじめて悪用されるのかといった事柄を技術的に説明いただき、納得した上で対応方針を決めることができるようになっています」（松中氏）

社内の開発部門はもちろん、お客様に向けての説得力が非常に高まったと感じています。

また以前は、情報セキュリティ推進室も現場の担当者も、不安な点があれば一から十まで自力で調べる必要があり、多くの時間を要していました。

「セキュリティコンサルタントの方と定期的にやり取りすることで、自分たちが認識していなかった課題や細かな点にも気づけるようになりました。我々の疑問に対して、ユービーセキュアからは専門家としての知見や経験に基づいて自分たちの求めた以上の回答が迅速に得られるようになり、効率化につながっています」（松中氏）

さらに、「診断に時間がかかりすぎる際には、このようにシナリオを組むと解決できる」「検査対象のリソースに負荷をかけないようにするには、スリープ的な処理をいれる方法がある」といった、診断時の具体的な困りごとを解決するTipsも知ることができました。

「マニュアルだけではわからないこうしたナレッジを提供いただき、診断シナリオにかかっていた時間を大幅に短縮できたプロジェクトもありました。」（松中氏）

そして、一連の支援を通して、開発現場で診断を行うエンジニアのスキルが平準化されたことも感じている。特に「近年暗黙知化してきたナレッジが若手のエンジニアに伝わり、個々のスキルの底上げにつながっています」（乗川氏）

将来的な診断の独り立ちを見据え、引き続き専門的な支援に期待

内製化に向けた支援サービスを受け始めた当初は、診断結果の全体の5割程度をユービーセキュアに確認していました。しかし2年余りのやりとりを通して、NTTPC内、特に開発側にもナレッジが蓄積されていき、今では依頼するのは1割程度にまで減っています。

これにより、NTTPCが当初から目指してきた「独り立ち」の道筋も見えてきました。外部に診断を依頼していくとそのたびに数百万円単位でコストがかかりますが、そこを完全に内製化することで、コストを下げつつセキュリティを担保する枠組みが整うと期待しています。加えて「ノウハウの蓄積はシステムの品質向上に直結します。その意味でこの2年の効果はあると考えています」（渡邊氏）

今後は、設計・開発段階からセキュリティを考慮するシフトレフトにも本格的に取り組んでいく方針ですが、それにはやはり、セキュリティ人材の育成をはじめ、多面的な取り組みが必要です。そうした部分でもユービーセキュアのセキュリティの専門家としての支援に期待しており、「支援内容は異なっても、引き続き一緒に伴走していただければと思っています」（松中氏）