診断の「できない」をなくし、セキュリティ事業を次のステージへ
開発系ベンダーが挑む診断サービスの確立

「創造と挑戦」―ITベンダーが提供する“セキュリティ”という新たな価値

私たち日本オープンシステムズは、お客様企業の業務効率化を支えるための多種多様なシステムを開発しているITベンダーです。システム開発を主軸にさまざまなWeb開発事業を行っており、近年はクラウド推進や自社プロダクトの開発にも力を入れています。

そうした中、クラウドサービス部では2021年にセキュリティブランドを立ち上げました。Webアプリケーション診断やプラットフォームの診断、ペネトレーションテスト、AWSセキュリティ診断などのサービスを展開しています。

このセキュリティ事業を支えるコアツールの一つとして、Webアプリケーションの脆弱性検査ツール「Vex」を導入しています。

事業規模の拡大とともに見えてきた、自動診断ツールの限界

診断サービスの立ち上げに向けて、2018年頃から体制や枠組みの構築、使用ツールの選定などを進めました。会社としても初挑戦のセキュリティ領域、当時は「とにかくやってみよう」を合言葉に、まずは“自分たちの手で、自分たちが使うシステムを診断できる状態”を目指して出発しました。

そこで診断ツールに求めていたのは2点、「導入しやすいコスト」と「簡単に使えること」です。とにかくハードルを下げて、診断のスタートラインに立つこと。こうした観点で、最初は別の自動診断ツールを採用しました。

社内システムの診断を安定的に回せるようになった後、2021年に晴れてサービス提供を開始。当初は順調にサービスを提供できていましたが、事業規模が広がるにつれて、現状維持では限界があると感じるようになりました。

お客様の数が増え、ニーズも多様化していく中で、既存の自動診断ツールではどうしても対応できないご依頼が増えてきたからです。

また、サービス提供を重ねる中で社内のセキュリティ習熟度が高まってくると、既存ツールの技術的な制約も見過ごせなくなってきました。例えば、API診断ができなかったり、対象ブラウザが限られていたり。診断環境においてさまざまな壁が立ちはだかり、お客様のピンポイントなご要望にお応えしづらい状況でした。最終的には手動で対応するため、作業者の負担も膨らんでいました。

今後の事業成長や継続性を考えると、自由度がより高く、診断の幅を広げられるツールが必要になる。そこで検討したのがVexでした。

「できない」が減り、事業成長に向けたチャレンジが加速

Vexを導入したことで、「診断できない」という状態はほぼなくなりました。技術的な壁が取り払われて思い通りの診断が可能になったため、診断サービスの幅が確実に広がっています。

事業としても、新しい挑戦ができるようになりました。例えば2024年度から、公共機関の入札案件に参入しています。当社はセキュリティ診断事業としてはまだまだ若い企業です。これから事業規模をさらに広げていくためにも、信頼に足る実績をつくることが喫緊の課題。そんな状況下で入札案件への参入条件をクリアできずに足踏みしていましたが、Vexを導入後、参入が叶って実績につながったのです。

また、副次的な効果として、社内のセキュリティ人材の育成にも一役買っています。Vexは自動診断ツールと比べると設定がやや難しい部分があり、使いこなすためにはセキュリティの知識もある程度必要です。しかし一方で、想定通りの診断を実行するために試行錯誤を重ねるうちに、セキュリティに関する知見が自然と蓄積していく。慣れるまではちょっと大変かもしれませんが、その分「事業の未来を担う人材が育っている」と思えば、うれしい筋肉痛ですね。

ITベンダーによるセキュリティ事業のロールモデルへ

セキュリティ事業は閑散期もあるため、体制を維持するだけでもなかなか難しい面があります。特に私たちのような、いわゆる開発系ベンダーによるセキュリティ部門の立ち上げは、前例も多くありません。

そうした中で今後もVexを活用しながらサービス品質を磨くとともに、体制強化や人材育成に注力していきたい。その結果、日本オープンシステムズが「開発系ベンダーによるセキュリティ事業の成功事例」になれたらうれしいですね。ロールモデルとして、実現可能だと示せる存在であり続けたいと思います。