CASE

導入事例

手動診断とVexを併用。業務効率化で、人員の高付加価値サービスへの注力が可能に。

NRIセキュアテクノロジーズ

情報セキュリティコンサルティング

導入したサービス

Webアプリケーション脆弱性検査ツールVex

導入企業様のご紹介

野村総合研究所(NRI)の第一号社内ベンチャープロジェクトとして1995年に前身となるビジネスユニットが発足。2000年にセキュリティスペシャリスト集団で構成される専門会社として現在のNRIセキュアテクノロジーズが設立。NRIセキュアテクノロジーズでは、情報セキュリティマネジメントサイクルが円滑に行えるようコンサルティング、ソリューション導入、教育、運用、監査に至るまでのワンストップセキュリティソリューションを金融機関、流通、製造、製薬、通信、マスコミなど業界の大手企業を中心に、官公庁に至るまで200以上のお客様に提供している。

https://www.nri-secure.co.jp/

サイバーセキュリティサービス開発部セキュリティコンサルタント 根岸 大宙 様
サイバーセキュリティサービス開発部セキュリティコンサルタント

根岸 大宙 様

サイバーセキュリティサービス一部セキュリティコンサルタント 三好 雅貴 様
サイバーセキュリティサービス一部セキュリティコンサルタント

三好 雅貴 様

サイバーセキュリティサービス一部部長  岡 博文 様
サイバーセキュリティサービス一部部長

岡 博文 様

※所属部署、肩書などは取材当時のものです。

課題

  • パラメータ改ざん系の脆弱性を見つけ出すために、アプリケーション全体に対して同じ診断作業を反復的に実施する必要があった
  • 海外ベンダーのツールの場合、連絡に日数を要したり、的を得た回答を得られないケースが多かった

得られた効果

  • パラメータ改ざん系の脆弱性の診断を手動診断並みの精度でおこない、効率化を図ることができた
  • 国産ツールであるVexでは問い合わせに対するレスポンスが速く、回答内容も確実で顧客企業からの信頼性も高まった

目次

    手動と遜色のないクオリティで診断できるツールを求めて

    case-img08-5NRIセキュアテクノロジーズは、情報システムセキュリティの維持・向上を支援する「セキュリティ診断サービス」を提供しています。特にWebアプリケーションを対象とした診断では、専門家が知識と経験に裏付けられた技術で手動診断をすることを強みとして、お客様に評価いただいておりました。一方で、SQLインジェクションやXSS(クロスサイトスクリプティング)といった、いわゆるパラメータ改ざん系の脆弱性を見つけ出すには、アプリケーション全体に対して同じ診断作業を反復的に実施する必要があります。この診断作業は、我々の取り扱う幅広い診断項目全体からすると1~2割ほどの内容でありながら、工数や作業時間としては全体の7~8割に及ぶほどです。
    Vex導入のきっかけは、これらの診断をツールに任せることによって、効率化を図るためでした。効率化といえども品質に手動診断との差があってはならないと、さまざまなツールをテストしましたが、数あるツールの中でも、国内製品であるVexは他社のツールと明らかに設計思想が違っていました。「ひとまずツールを走らせ、意図した通り診断できたか否かに関わらず、走り切ったら終了」という考え方のツールが多いなか、Vexは診断シナリオそのものを細かく設定できるだけでなく「診断が本当にシナリオに忠実に、意図した通り走っているか」も確認できます。そこが、我々の診断に関する考え方と非常にマッチしていました。

    診断ツールと手動診断それぞれの特性を最大限に活かせる体制に

    case-img08-6NRIセキュアテクノロジーズはもともとR&Dや業務効率化に投資しやすい社風で、優秀なツールであれば積極的に業務で試す文化があります。Vexについても、一定の性能評価を終えた後は、比較的スムーズに導入が決定しました。
    むしろ時間をかけたのは導入後です。手動診断とツールでの診断、それぞれの特性を最大限に活かしたいと考えたこともあり、我々の手掛ける診断項目のうち、Vexに任せられる範囲の規定、操作担当者の選定といった体制やルールは、実際に業務へ投入しながら慎重に整えていきました。当初はセキュリティコンサルタントが手動診断をする傍ら、併用してVexを操作していました。ただ、Vexの精度の高さを活かすには、相応の時間をかけて設定する必要があり、手動診断のスペシャリストがツールの操作を併用するのは効率的とは言いがたい状況でした。ツールで診断をするメリットは「誰がツールを使っても品質が一定に保たれる」ところにあるわけです。
    そこで最終的に、診断作業を完全分業する方法を採用しました。Vexでの診断は、ツール操作に精通したスタッフが担当し、セキュリティコンサルタントは作業時間が短縮された分、手動診断に注力しサービスの付加価値を高めていく。人員的にも、それぞれの特性を最大限活かす形をとりました。
    導入にあたり苦労したのは、Vexにはシナリオを重視するツールならではの細かい設定や機能が用意されているため、それを使いこなす難易度が高かったことです。ただ現在は、ユービーセキュアさんが操作方法などを体系立てて学べる教育メニューや研修を用意されているので、スムーズになっていると思います。

    技術力やサポート、Made in Japanの強みを世界で活かして

    case-img08-7Vexの問い合わせに対するレスポンスの早さ、内容の確実さには大変信頼を寄せています。海外のベンダーの場合、サポートと技術部の拠点が離れているため連絡に日数を要したり的を得た回答を得られないケースも多いのですが、国産製品であるVexは、営業部と技術部が同じ拠点の中で密に連携しています。そのためメールで問い合わせれば1時間以内には受付の連絡があり、概ね翌営業日には技術的に確かな回答が返ってきます。このスピード感はセキュリティコンサルタントとして心強く、販売代理店としてもクライアントに自信を持って紹介できるポイントです。
    また、仕事も丁寧で品質とサポートには非常に満足しています。ただ、シナリオを重視するだけに、職人の仕事道具のようなところがあり、ユーザーにもある程度の習熟が求められます。今後、海外製品に多い“ボタンひとつで自動的に結果が出る”といったツールは、さらに増えていくと見込まれます。こうした製品に対抗するなら、我々のような診断ベンダーだけではなく、開発現場のエンジニアさんも操作しやすいようにユーザビリティを高める必要性を感じます。一方で、セキュリティ診断を専門とする我々としては、検知できる脆弱性の幅をより一層広げていただき、より多くの診断をVexに任せたいという期待もあります。
    Vexも英語化して、いよいよ海外展開が間近であると伺っています。設計思想はMade in Japanそのままに、ぜひ海外でチャレンジして成功してほしいですね。他社の追随を許さない、日本を代表する国際的なブランドに育ってくれることを願っています。

    case-img08-8

    取材を終えて ~ユービーセキュアより~

    VEXはこれからも診断ベンダーの作業効率化に貢献していきます
    このたびは、取材にご協力いただき誠にありがとうございます。
    手動診断を主軸とされている中で、サービスレベルの向上に弊社製品が少なからず寄与している点、大変嬉しく思います。今後もMade in Japanの設計思想を忘れず、皆様のご意見ご要望に真摯に対応し、より良い製品開発に取り組んでまいる所存です。

    NRIセキュアテクノロジーズ

    情報セキュリティコンサルティング

    URL:https://www.nri-secure.co.jp/