脆弱性診断を「自分たちの武器」に取り入れ、
開発者のセキュリティ意識を進化させた理由

金融系アプリを支える開発会社が、セキュリティを品質保証の一環とする理由

サイバーセキュリティのインシデントが企業活動を脅かすニュースは、今や後を絶ちません。金融機関や行政機関が主な標的と思われていた時代は終わり、業種・規模を問わずあらゆる組織が攻撃にさらされています。

その影響は、直接の被害にとどまりません。サプライチェーンのどこか一社がサイバー攻撃を受けてサービスを停止すれば、業界全体に連鎖的な混乱が波及します。セキュリティ対策は「大企業の仕事」ではなく、規模や業種を問わず、すべての会社が自分事として取り組むべき課題になっています。では、スマホアプリやWebシステムを受託開発する会社は、どう向き合えばいいのでしょうか。

その問いに、一つの答えを示している会社があります。株式会社クロス・コミュニケーション AI・DX推進室マネージャーの中津川氏は、開発会社としてのセキュリティへの責任をこう語ります。

「当社では、金融機関向けのスマホアプリ開発を主な業務としています。お金を扱う最前線のシステムを手がけている以上、セキュリティは最も注意を払うべき領域です。近年、セキュリティのインシデントによって会社の価値が大きく毀損されるケースが増えており、この問題への対応はますます重要になっています」（中津川氏）

重要なのは、この姿勢が「顧客に求められたから」ではないという点です。中津川氏はセキュリティ対策を、開発会社が自ら主体的に担うべき義務と位置づけています。

「そもそも脆弱性を完全に防ぐことはできません。対症療法の繰り返し、言わば、いたちごっこの側面があります。それでも、私たちはお客様に『既知の脆弱性を可能な限り排除した状態で納品する』ことを自分たちの義務だと捉えています。お客様から診断を要件として求められるかどうかに関わらず、納品物の品質保証の一環として、自ら実施すべきことだと考えています」（中津川氏）

クロス・コミュニケーションにとってのVex導入には、こうした責任意識が背景にありました。

なぜ脆弱性診断をより主体的に運用する体制へ移行したのか

Vex導入以前、クロス・コミュニケーションでは協力会社による診断やオープンソースの診断ツールも活用しながら、案件ごとに脆弱性対策を進めていました。一方で、修正と再診断を短いサイクルで回したい場面では、より機動的に運用できる内製体制の必要性が高まっていました。

「脆弱性対策では、問題を発見して修正し、また診断してというサイクルを何度も繰り返す必要があります。しかし外部委託の場合、診断のたびにコストやスケジュールの調整が必要ですし、テスト環境の確保やお客様への事前通知も求められます。外部サービスを通じてお客様の環境にアクセスするとなれば、契約上の許可取得が必要なケースもある。機動性が低く、時間的なコストが大きいという課題がありました」（中津川氏）

問題はそれだけではありませんでした。外部に任せる限り、ノウハウは社外に留まり続けます。

「外部に委託することにもメリットはありますが、任せ続けると、診断のノウハウが社外に留まり、自社には残りにくい状態が続きます。どの脆弱性が本当に危険で、優先度を下げてよいものがあるのか——そういった判断の積み重ねを社内のメンバーができない状態は、長期的に見て大きな課題でした」（中津川氏）

さらに、金融機関の案件を多く抱えるクロス・コミュニケーションには、もう一つ越えられない壁がありました。クラウド型サービスの利用です。

「クラウド型の診断サービスは、診断のためにポートを開放する必要があります。しかしそれ自体がサイバー攻撃のリスクになりかねません。また、脆弱性の情報が外部サービスを経由することへの懸念もあります。金融機関のお客様との契約上、利用するサービスや担当者の情報を報告する義務が生じるケースもあり、それが海外のサービスであればさらに障壁が高い。案件特性上、クラウド型は選択肢として難しい状況でした」（中津川氏）

前職でVexが導入されており、直接操作したことはないもののサポート品質と検知率の高さを知っていた中津川氏にとって、Vexは当社の要件に合致しました。

「設定を一度習得してしまえば操作も比較的容易で、開発者自身が診断を完結できる点にとても価値を感じました。今回、他のツールとの比較検討も行いましたが、その確信は変わりませんでした」（中津川氏）

脆弱性対策の経験がない若手社員が、自律的に診断を担えるようになるまで

2025年10月頃から検討が始まり、2週間の無料トライアル期間を経て、同年12月に正式導入が完了しました。トライアル期間の担当者として任されたのが、若手エンジニアの一人である大川氏です。

「Vexの担当になるまで、脆弱性対策に携わる業務経験は一度もありませんでした。まず『脆弱性とは何か』という基礎的な学習から始めることになりましたが、トライアル期間中にユービーセキュアの方から丁寧に説明いただき、実際に手を動かして診断を実践できる機会を設けていただいたことで、スムーズに習得できました」（大川氏）

ツール自体の使いやすさも、大川氏が強調するポイントです。

「ツール操作でストレスを感じることがほとんどなく、セキュリティの問題そのものに集中して取り組める環境が整っています。検知された脆弱性を攻撃パラメータに対してシステムがどう反応するかを確認したり、精査したりする中で、確実に知見が積み上がっていくことを実感しています」（大川氏）

特に大川氏が高く評価しているのが、契約オプションとして利用しているアドバイザリーサポートです。

「具体的な脆弱性事例への対応として、『このように判断してよいか』という実務レベルの内容まで相談できます。ユービーセキュアの専門的な知見を自分たちのケースに当てはめてアドバイスいただけることで、自己判断だけでは得られない確信を持てるようになりました。担当者としての安心感はもちろん、任せている上司の立場からも、きちんと確認できているという担保になっていると思います」（大川氏）

ポータルサイトを通じたサポートチケットへの対応も迅速かつ丁寧で、必要なタイミングで的確な回答が得られているといいます。今では操作面での質問はほぼ不要な状態になったと大川氏は振り返ります。

中津川氏も、若手メンバーの成長を以下のように評価します。

「若手の担当者が、管理職が細かく指導しなくても、自律的に取り組めています。このことが、ツールの習得しやすさとサポートの手厚さの証明になっていると感じています。」（中津川氏）

診断結果が生む学びのサイクルで、開発者のセキュリティ意識が変わる

現在、クロス・コミュニケーションでは共有サーバーにVexをインストールし、深夜の自動実行も含め、メンバーが必要なタイミングで自由に診断できる体制を構築しています。現在は開発中のアプリのAPI診断から活用を始め、今後は新規開発案件にも順次展開していく計画です。

しかし、Vex導入がもたらした変化は診断業務の効率化だけではありません。中津川氏が特に重視するのは、「開発者のセキュリティ意識の変化」という、より根本的な価値です。

「脆弱性診断の結果を開発者自身が確認するプロセスが、そのままセキュリティ学習の場になっています。仮に誤検知であっても、なぜ誤検知なのかを調べる過程で、どのような攻撃があり得るのか、なぜそこが問題になるのかを理解できます。何か目的を持って調べると、理解が深まるのが早い。勉強しなさいと言われてやっても、半分ぐらい忘れてしまいますから」（中津川氏）

この姿勢は、AIが開発現場に浸透しつつある時代においても変わりません。むしろ重要性は増すと中津川氏は言います。

「AIは、指示されなければセキュリティを意識したコードを書いてくれません。開発者がどのような脆弱性があり得るかを理解した上で、適切なプロンプトや設計方針を与えることが不可欠です。Vexによる診断経験で培ったセキュリティの知識があってこそ、AIも正しく機能させられる。この構造は、これからの開発において重要性がますます高まるのではないでしょうか」（中津川氏）

診断ビジネスの展開へ——Vexが切り拓く次の可能性

社内での診断体制が安定してきたクロス・コミュニケーションが見据えるのは、さらに先の展望です。

「当社はシステム開発会社として、脆弱性を発見するだけでなく、修正し、防御策まで提案できる一気通貫の体制を持っています。金融機関向けの厳格なセキュリティ要件に対応してきた実績とノウハウもある。社内運用が軌道に乗ったあとは、顧客向けのセキュリティ診断サービスも展開していきたいと考えています」（中津川氏）

Vexの利用形態がライセンス契約のため、定額で使えるという特性も可能性を広げます。

「他社からシステムを移管して受け入れる際には、これまで費用面の懸念から外部委託の診断を省くこともありました。しかし今は何度でも診断を実施できます。受け入れ前にVexで脆弱性診断を行い、問題を修正した状態で開発をスタートする。品質保証の起点として非常に有効な使い方です」（中津川氏）

最後に、Vexを活用したユービーセキュアとのパートナーシップの可能性についても語りました。

「グループ企業のマーケティング会社と共に提案しているUI/UX調査のうち、当社が担当しているWebサイトのヒューリスティック評価（ユーザビリティや視線分析など）に加えて、Vexの脆弱性診断を組み合わせることで、サイトの使いやすさから安全性まで一貫して評価・改善するサービスを提供できれば、顧客にとっての価値は大きいと思っています」（中津川氏）