手作業診断の限界を打破。Vex×独自ナレッジで、品質と効率を両立した脆弱性診断を実現

Web開発のナレッジやノウハウを生かし、長年にわたって診断サービスを展開

アイ・エフ・ティは主に大手企業を中心に、コーポレートサイトやブランドサイト、ECサイトなど、さまざまなWebサイトの構築事業を20年以上にわたって展開してきました。

近年、脆弱性を突いた不正アクセスが増加し、開発を依頼する顧客側の懸念も高まっています。こうした背景から注力しているのがセキュリティ事業です。IPSやWAFといったセキュリティ機器の導入支援も行ってきましたが、特に強みを生かせるWebサイトの脆弱性診断サービスを事業の柱に据え、診断を行う人材の育成も含めて本格的に展開しています。

「セキュリティが世間でこれほど注目されるようになる前の2009年から、脆弱性診断サービスを提供してきました。Webアプリケーション開発のプロが構築のナレッジやノウハウを生かし、Webをどのように守り、セキュアに構築していくかを支援しています」（今井氏）

常に一定水準以上のアウトプットが得られるVexを採用

同社は、短期間で脆弱性を検出する「クイックWebアプリケーション診断」から、「プラットフォーム診断」、さらにソースコードを解析して潜在的な問題まで検出する「ソースコード診断」に至るまで、幅広い脆弱性診断サービスを提供しています。このうちWebアプリケーション診断サービスに活用しているのが、ユービーセキュアの「Vex」です。

「プロの診断員が診断を実施するに当たって、圧倒的多数の項目を診断でき、品質が高く、しかも国内で開発されていることから、お客様の要望に最もお答えできる手段だと捉えています」（王氏）

過去には、オープンソースのツールなど他の手段で診断を実施していた時期もありました。しかし、「他のツールでは診断員によって結果に差が生じてしまうという課題がありました。これに対しVexは非常に扱いやすく、トレーニングを積んだメンバーが診断を行うことで水準以上のアウトプットを出すことができ、一定の品質が担保できることがメリットでした」（王氏）

また、Webサイトやアプリケーションは年々大規模化・複雑化しており、診断すべき対象が数百ページに上るケースもあります。限られた期間内にすべてを診断するのは、いくら経験のある診断員でも困難です。

その点、Vexを活用すれば、オフィスを出るときにセットしておけばシナリオ通りに自動的に診断が実施され、翌朝には結果が得られます。「短期間での診断のご要望にもしっかりと対応できるため、最大限に活用しています」（王氏）

日本国内で開発され、サポート面で安心が得られる点もポイントでした。「定期的にユービーセキュアと情報交換を行い、新たに追加された機能について情報を得たり、こちらからフィードバックを行ったりしています。要望を踏まえ、実際に利用しているユーザーの目線で機能拡充していただいている部分もあり、非常に助かっています」（王氏）

独自のナレッジを組み合わせた高品質な診断と手厚いアフターサポートを実現

こうした理由からアイ・エフ・ティではVexを採用し、個別の要望に応じて十年以上にわたって診断サービスを提供してきました。その過程で、ユービーセキュアのトレーニングも活用しながら診断員の育成を進めつつ、独自のノウハウを蓄積してきました。

Vexは診断項目が多岐にわたり、SQLインジェクションやクロスサイトスクリプティングといった主要な脆弱性を網羅的に確認できます。加えて、権限設定やセッション管理に関するアイ・エフ・ティ独自の診断項目を組み合わせることができる柔軟性もあります。「過去の経験やナレッジを反映したアイ・エフ・ティのオリジナルのシナリオをプリセットすることで、より品質の高い診断サービスを提供できています」（王氏）

診断後のアフターサポートを手厚く行うことも、同社のサービスの特徴です。顧客にとっては、問題を指摘されたはいいけれど、その後具体的にどう修正すればいいのか、また問題がきちんと修正されているのかといった不安がつきまといます。再診断のための追加費用も懸念材料です。

「我々は報告書を提出して終わるのではなく、指摘された問題をどう修正していけばいいのかについて気軽に問い合わせていただける体制を整えています。無償で付属する三ヶ月後の再診断を実施するまでの間、何度でも問い合わせいただけるようになっています」（王氏）

ここで生きているのが、Vexのプロジェクト管理機能です。実施した診断結果が顧客ごとに記録され、それを用いて再度スキャンを実施することで、修正できたかどうかを確実に確認できるため、品質の高い診断を実施するだけでなく、アフターフォローが充実したサービスを提供できています。

サービス提供に加えライセンス販売も開始し、さまざまなフェーズで顧客の安心を実現

アイ・エフ・ティでは、脆弱性診断サービスを紹介するWebサイトをリニューアルし、Vexを活用していることも明示しています。顧客への提案に際し、「診断にどんなツールを使っているのか」と確認されるケースも少なくないそうですが、「知名度が高く、国内でのシェアも高いこともあり、Vexという名前を出すと『それならば安心ですね』とおっしゃっていただけています」（王氏）

こうした評価も相まって実績を重ねてきたアイ・エフ・ティでは、サービスとして脆弱性診断を提供するだけでなく、診断の内製化に取り組みたいと考える顧客向けに、販売代理店としてVexのライセンス販売も開始しました。

「大手の企業様からは徐々に、自社で診断を実施したい、内製化したいという声が上がるようになりました。そこで我々のソリューションを強化する形でVexのライセンスも提供し始めています」（王氏）。まず診断サービスの提供からスタートし、少しずつ顧客側にノウハウを蓄積し、徐々に自分たちでもVexを活用できる体制を整えていくといった形で、サービスとライセンス販売の両面で顧客を支援していく方針です。

また、これまでアイ・エフ・ティが診断サービスを提供してきた大手企業だけでなく、中堅・中小企業でもWebアプリケーションの脆弱性診断に対するニーズは高まっています。ですが一方で、予算の制約が厳しいのも実情です。そこで、ユービーセキュアのクラウド型診断ツール「Vex Cloud」にも着目し、より幅広い市場でWebのセキュリティを守っていくことができないか、検討を進めています。

Webサイトの役割が高まるにつれ、APIを介した連携も広がるなどどんどん複雑化し、診断の対象となる部分はますます拡大していくばかりです。

そんな中アイ・エフ・ティは、脆弱性診断を軸に、コンサルティングや標的型メール攻撃対策訓練など、さまざまなソリューションを組み合わせて顧客のサイバーセキュリティ事業を支援していきます。「システムにはライフサイクルがあり、稼働し続ける限りリスクが伴います。ですからリリース前の診断だけでなく、定期的に、また要所要所で診断を行い、リスクを抑えることが求められてきます。我々は、そうしたポイントに応じて、充実したサポートと合わせて診断サービスを行い、親身に対応していきたいと思います」（今井氏）