- 課題
- 第三者による脆弱性診断の実施が求められていたが、外部サービスは診断までにさまざまな準備や調整が必要で、労力やコストがかかることが課題だった。
- 導入
- 将来的にセキュリティ診断を内製化していく上でも有効であると判断し、「AeyeScan」を活用した「Quick WATCH」の導入を決定した。
- 効果
- テスト作成の自動化により、期間の限られたプロジェクトでも手間をかけずに診断を実施。わかりやすいレポートを参考に、診断と修正のサイクルをスピーディに実現。
システムやインフラ構築サービスを通して顧客の課題解決を支援してきたヒューマンインタラクティブテクノロジー(以下、HIT)は、以前からセキュアなシステム開発に取り組んできた。しかし、世間のセキュリティ意識が高まるにつれ、自社内での取り組みだけでなく、客観的な評価を求める声が寄せられるようになった。そこで同社が選択したのが、AIを活用するSaaS型Webアプリケーション脆弱性診断ツール「AeyeScan」を活用したセキュリティ診断サービスだった。
背景と課題
HITはITプロフェッショナル集団として、システム開発やインフラ構築コンサルティングサービスを通して顧客の課題解決を支援してきた。近年は、Microsoft AzureやMicrosoft 365など、マイクロソフトのクラウド導入の支援も展開している。
かつてのシステム開発では、機能要件と納期、コストといった事柄が重視されてきた。しかし、サイバー攻撃が増加し、情報漏洩事件が多発する近年では、それらの要素と並んでセキュリティという非機能要件も求められるようになっている。このためHITでは社内のセキュリティレベルを高めるだけでなく、顧客向けに構築するシステムにおいても必要十分なセキュリティ対策を実施してきた。
具体的には、システムに脆弱性を作り込まないよう各エンジニアがセキュアコーディングについて学び、開発プロセスの速い段階からセキュリティを意識して安全なシステムを構築するよう努めている。さらに、オープンソースの脆弱性診断ツールを用いてスキャンを実施し、プラットフォーム側の既知の脆弱性はもちろん、WebアプリケーションにもSQLインジェクションやクロスサイトスクリプティングといったよく知られた脆弱性が存在しないことを確認した上で納品する、という流れを整備しつつある。
ただ、いくら「自社できちんとセキュリティをチェックしています」と言っても、それは主観的な主張に過ぎない、と言われれば反論できない。事実、ソリューションサービス事業部 サービスグループ グループリーダー 木暮氏が携わったあるプロジェクトでは、顧客から「HIT自身の診断に加え、第三者による診断を行った上でシステムをリリースしたい」という要望が寄せられたという。
「お客様が扱う情報の重要度が高いプロジェクトであることに加え、近年、不正アクセスが頻発しています。もし脆弱性を攻撃されて個人情報の漏洩につながれば、直接的な被害はもちろん、お客様の信用やブランドそのものも傷つくことになりかねません。こうした情勢を踏まえ、客観的な立場からの脆弱性診断を要望されるようになりました」(木暮氏)。HITから顧客の担当者への説明はもちろん、顧客側担当者から上層部へ説明責任を果たす上でも、第三者的な観点での評価が求められていた。
ソリューションの選定
HITがまず考えたのは、外部のセキュリティ診断サービスの活用だった。ただ、診断までにさまざまな準備や調整が必要で、労力やコストがかかることが課題となった。
しかもこうしたサービスは、必要な時にそのつど単発で診断を実施する「スポット契約」がほとんどだ。だが、目の前のプロジェクトだけでなく、他の案件でも診断を実施し、「HITのシステムはセキュリティがしっかりしている」と付加価値を高めていくことを考えると、セキュリティ診断サービスという形態はそぐわないと考えた。それもできれば一度きりでなく、クラウド基盤をベースに改修・修正を加えるたびに継続的に診断を行い、セキュリティを担保し続けることを考えると不十分だった。
そんな悩みを抱いていたときにラックから提案されたのが、エーアイセキュリティラボのAeyeScanを活用し、ラックの専門家の支援を受けながら自社で繰り返し脆弱性診断を行える、Quick WATCHというラックのセキュリティ診断サービスだった。
ポイントの1つは、Quick WATCHでAeyeScanを活用すれば、従来型の手法に劣らない水準の診断を、より少ない期間と労力で実現できることだった。「細かな部分となると別ですが、人が行う診断結果とほぼ変わらないレベルの結果が出るという説明を受けて手放しで喜びました。『ツールだけでそこまでできるんだ』と、いい意味で驚きました」(木暮氏)
もう1つのポイントは、セキュリティ企業としてノウハウを蓄積してきたラックの支援体制だった。かゆいところに手の届く専門的な支援が得られるが、すべてお任せでもない、「バランスのいい」支援体制が整っているところに安心感があったという。
導入効果
HITではPoCを実施し、目の前にあるプロジェクトだけでなく、将来的にセキュリティ診断を内製化していく上でも有効であると判断し、Quick WATCHの導入を決定した。導入にあたってはラックの専門家とともに、どの水準を満たせば顧客の要望に応えられるかを検討し、ベースラインを形作っていった。
実際に診断を回し始めて出てきたのは、「おぉ、Quick WATCHでAeyeScanを利用するとここまで診断が簡単になるのか」というエンジニアからの驚きの声だった。
一般にWebアプリケーションの脆弱性診断を実施する際には、どの画面でログインし、どのように画面遷移が行われ、どんな順番でサイトを巡回していくかというシナリオを人間の手で作成し、ツールに教える必要がある。だが、AeyeScanではAIを用いてその部分を自動化している。人手による作業の手間がかからず、十二分に目的を達成できることがわかったからこその、喜びの声だった。「ちゃんと巡回してチェックしているのを見て、周囲のエンジニアにも『ねえねえ、ほら見てよ』とわくわくしながら声をかけました」(木暮氏)
もちろん、認証の部分などでつまずきがなかったわけではない。しかし、事前のPoCを通してAeyeScanの癖を知り、巡回に詰まってしまう部分を洗い出し、どのように対処すればいいかをラックの専門家にアドバイスしてもらいながら進めていたため、ほとんど問題とはならなかった。
プロジェクトチームは年度末までに脆弱性診断を実施し、適切に修正を加えてリリースしなければならないというプレッシャーにさらされていた。当初現場には、「診断をするのはいいが、何が出てくるかわからない。もし対策が間に合わなければどうするんだ」という緊張感が漂っていたという。
しかし、AeyeScanを活用し、ラックの専門家による支援を得ることで、スピーディに診断と修正のサイクルを回すことができた。検出された脆弱性に対しては顧客に対策の方向性を説明した上で一通り対策を実施し、再度AeyeScanによるスキャンを実施して問題が修正されていることを確認した上で、無事にリリースにこぎ着けることができた。スキャンレポートも生成されるため、効果も説明しやすかったという。
今後の展開
コストや時間を無限にかければ究極のセキュアなシステムが実現できるかもしれないが、それは非現実的な話だ。HITではこのプロジェクトを皮切りに、「どこまでがNGで、どこからはOKか」というセキュリティ基準を形作り、AeyeScanというツールの特性と開発するシステムの特性の双方を踏まえながら、ライフサイクルの中でどうセキュリティスキャンの網羅性を維持し、セキュリティ品質を保っていくかという課題に取り組んでいく。
「我々自身の手で何回も脆弱性診断を実行できることには、それだけで高い価値があると考えています。我々がこの先リリースしていくシステムやサービスのセキュリティを自分たちの手で担保していけるのは、非常に心強いことだと考えています」(木暮氏)
そして、システムインテグレーションサービスやマネージドサービスの付加価値を高める武器として、AeyeScanおよびQuick WATCHを活用し、お客様との信頼関係を作り上げていきたいという。「単に技術を提供したりシステムを提供するだけではなく、『HITなら安心』という安心材料を付加価値として感じてもらえる存在になることを目指しています」(木暮氏)
さらに「AeyeScanについてはセキュリティの文脈だけでなく、AIを用いた画面遷移や情報収集といった部分にも着目し、システム開発の効率化やテストの自動化といった方向にも展開できるのではないかと期待しています」(木暮氏)。AeyeScanが得意とするCI/CDツールとのインテグレーションといった部分も視野に入れながら、よりよいシステム開発の在り方を広げていく。
