そうした中、クラウドサービス部では2021年にセキュリティブランドを立ち上げました。Webアプリケーション診断やプラットフォームの診断、ペネトレーションテスト、AWSセキュリティ診断などのサービスを展開しています。
このセキュリティ事業を支えるコアツールの一つとして、Webアプリケーションの脆弱性検査ツール「Vex」を導入しています。
診断サービスの立ち上げに向けて、2018年頃から体制や枠組みの構築、使用ツールの選定などを進めました。会社としても初挑戦のセキュリティ領域、当時は「とにかくやってみよう」を合言葉に、まずは“自分たちの手で、自分たちが使うシステムを診断できる状態”を目指して出発しました。
そこで診断ツールに求めていたのは2点、「導入しやすいコスト」と「簡単に使えること」です。とにかくハードルを下げて、診断のスタートラインに立つこと。こうした観点で、最初は別の自動診断ツールを採用しました。
社内システムの診断を安定的に回せるようになった後、2021年に晴れてサービス提供を開始。当初は順調にサービスを提供できていましたが、事業規模が広がるにつれて、現状維持では限界があると感じるようになりました。
お客様の数が増え、ニーズも多様化していく中で、既存の自動診断ツールではどうしても対応できないご依頼が増えてきたからです。
また、サービス提供を重ねる中で社内のセキュリティ習熟度が高まってくると、既存ツールの技術的な制約も見過ごせなくなってきました。例えば、API診断ができなかったり、対象ブラウザが限られていたり。診断環境においてさまざまな壁が立ちはだかり、お客様のピンポイントなご要望にお応えしづらい状況でした。最終的には手動で対応するため、作業者の負担も膨らんでいました。
今後の事業成長や継続性を考えると、自由度がより高く、診断の幅を広げられるツールが必要になる。そこで検討したのがVexでした。
Vexを導入したことで、「診断できない」という状態はほぼなくなりました。技術的な壁が取り払われて思い通りの診断が可能になったため、診断サービスの幅が確実に広がっています。
また、副次的な効果として、社内のセキュリティ人材の育成にも一役買っています。Vexは自動診断ツールと比べると設定がやや難しい部分があり、使いこなすためにはセキュリティの知識もある程度必要です。しかし一方で、想定通りの診断を実行するために試行錯誤を重ねるうちに、セキュリティに関する知見が自然と蓄積していく。慣れるまではちょっと大変かもしれませんが、その分「事業の未来を担う人材が育っている」と思えば、うれしい筋肉痛ですね。
セキュリティ事業は閑散期もあるため、体制を維持するだけでもなかなか難しい面があります。特に私たちのような、いわゆる開発系ベンダーによるセキュリティ部門の立ち上げは、前例も多くありません。
そうした中で今後もVexを活用しながらサービス品質を磨くとともに、体制強化や人材育成に注力していきたい。その結果、日本オープンシステムズが「開発系ベンダーによるセキュリティ事業の成功事例」になれたらうれしいですね。ロールモデルとして、実現可能だと示せる存在であり続けたいと思います。