「どうしようかな、今期はもうそんなに予算がないし……」
ここは、とあるベンチャー企業のオフィス。プロジェクトマネージャーとして企業向けWebアプリケーションの開発に当たっているAさんが、同僚にこんな愚痴をこぼしている。
Aさんの業務内容は、いろいろな顧客の要望をくみ取って、開発者やデザイナーと一体になってサービスを作り上げること。もうすぐ新機能をリリースする予定も控えている。
だがここ数カ月で、Aさんの所には、機能以外の面で顧客からの要望が増えてきた。それは「御社のサービスのセキュリティ体制はどうなっていますか? 脆弱性診断を行っていますか?」というものだ。最近も、とある見込み客からセキュリティに関する問い合わせを受けた。その会社はプライバシーマークを取得しているため、社内制度上どうしても確認が必要なのだそうだ。
最近は企業の情報漏えいがニュースになることも多く、顧客が慎重になるのは分かる。だが、少人数でまかなっているAさんの会社では、予算や役割分担などの関係上、気軽に外部のセキュリティ企業に脆弱性診断を依頼するのは難しい。それがAさんを悩ませている目下の課題だ。
【注:記事内のストーリーは、実際の導入事例をもとに再構成した仮想事例です】
AさんはWebサービスを展開する企業の一員として、セキュリティの重要性は認識しているつもりだ。専門家というわけではないが、開発チームのメンバーと協力してセキュリティの勉強会を開くなどし、知識を積極的に吸収してきた。
だが、具体的なセキュリティ要件が示される受託開発とは違って、どこまで対策しておけば「うちの製品のセキュリティは大丈夫です」と言い切れるのか、判断基準があいまいなのが正直なところだ。
実は過去に、「念には念を入れてチェックしなくては」と考え、外部に依頼して脆弱性診断を実施したこともある。けれど、それはもう1年以上も前。Webアプリを初めてリリースした時の話だ。その後も仕様を改修したり、デザインに手を加えたり、新機能を追加したりして、Webアプリの中身は当時とかなり変わっている。そのため現在も安全だと断言はできない。
当時Aさんが驚いたのは、外部の脆弱性診断を受ける上で時間や金額のハードルが高かったことだ。まず、発注先に診断を任せる際のスケジュール調整に一苦労した。また、診断には200万円を超える費用がかかり、予算を圧迫したため、マーケティングなどへの投資額が減ってしまった。さらに、指摘された脆弱性を修正する際に手戻りが発生したため、機能の実装が納期ギリギリになってしまった。
サービスローンチのタイミングで不正アクセスを受けるリスクをなくすため、開発チームと相談して直前まで修正を進め、セキュアな形でリリースできたものの、「お金もかかったし、みんなに負担をかけてしまったな……」と、Aさんにとっては苦い思い出になっていた。脆弱性診断の重要性を理解しながらも、1年以上も期間が空いているのはそのためだ。
聞くところによると、大手のWebサービス企業の中には、脆弱性診断の専門チームを内部に設け、品質チェックやテストと同じようにセキュリティ検査を行っているところもあるという。
「うらやましいけど、うちのような小規模なベンチャーでは難しいよね……」と、Aさんの悩みは深まるばかりだ。
浮かない顔で働く日々が続いたAさん。そんなある時、同じように情報収集に当たっていた開発チームのメンバーからチャットで連絡が入った。「Webアプリの脆弱性診断サービスをいくつか探してみたのですが、これはどうでしょう?」
自社で利用するタイプの診断ツールは、外部に診断を依頼した時にも一応調べたけれど、使いこなせる印象がなかったので断念していたAさん。半信半疑でURLをクリックすると、クラウド型Web脆弱性診断ツール「VAddy」(バディ)の公式サイトが開いた。
早速サイトを確認してみたAさんは、「検査時間は平均12分、月額5万9800円。しかも、セキュリティエンジニア向けではなく、開発者自身の手で脆弱性診断を内製できると書いてある。これなら、私たちでも手が届くかも」 と興味を持った。提供元のビットフォレストがオンラインセミナーを開催していることも分かったので、さっそく予定を調整して参加してみた。
セミナーの前半では、担当者が製品の概要を詳しく話してくれた。VAddyでは「SQLインジェクション」や「クロスサイトスクリプティング」といった、Webアプリケーションに存在する代表的な9つの脆弱性の有無をチェックしてくれるという。 ビットフォレストが開発しているWebアプリケーションファイアウォール(WAF)の「Scutum」でキャッチしているサイバー攻撃のうち、90%がその9種類で占められているため、必要十分な検査になっているとのことだ。
セミナーの後半では、VAddyの使い方のデモに移った。以前、他のセキュリティ企業から脆弱性診断を受けた際は、Webサービスの仕組みやデータの管理体制について細かくヒアリングを受けたため時間がかかったが、VAddyでは簡単に脆弱性診断ができるそうだ。
デモで担当者は、まずアカウントを作成して検査対象のWebサービスやサイトを指定した。次にVAddyをプロキシとして指定し、Webブラウザで実際にアプリケーションを動作させ、テストシナリオを作成した。最後にボタンをクリックすると、10分ほどで診断結果のレポート画面が表示された。
「短時間で診断できるし、専門家じゃなくても使えそうだから、やっぱりうちの会社に向いているかも」。Aさんはそう考え、1週間の無料トライアルに申し込んで自社のサービスを診断してみることにした。
セミナーを終えたAさんは、早速サインアップを済ませてアカウントを作成し、検査対象となるWebアプリを指定してシナリオを作って……と操作してみた。すると、30分も経たないうちに検査できる状態が整った。
その手軽さにAさんはびっくりしたが、さらに衝撃を受けたのは、もうすぐリリース予定の新機能にSQLインジェクションの脆弱性が見つかったこと。もし誰かに悪用されると、データベース内の情報流出につながる恐れのある深刻な問題だ。
「これはまずい!」と強い危機感を覚えたAさん。すぐにチャットで開発チームに連絡して確認してもらった。どうやら、数週間前に加えた複雑なロジックの中に見落としがあったらしい。
開発チームからは、すぐに「今から対応します! 修正が終わったら、脆弱性が解消されたか、同じツールで再確認してみます」と返信があった。VAddyではメンバー間で同じ情報を共有できるので、Aさんは診断結果を送信して「お願いします!」と返信した。
急いで対応し、VAddyで再検査した結果は異常なし。Aさんと開発チームのメンバーはほっと胸をなで下ろした。その後、新機能は無事にリリースでき、顧客からも好評だ。
Aさんが勤めるベンチャーは、この出来事を踏まえてVAddyを正式に契約。VAddyで脆弱性診断の内製化を手軽に実現できるようになった。また、新しいアプリや機能を開発するたびに脆弱性診断が可能になり、セキュアなWebアプリ開発を継続的に行えるようになった。月額制のサブスクリプション方式なので、こまめに診断できるのも魅力だ。
少し前まで悩んでばかりいたAさんだが、今では顧客から「脆弱性診断は実施していますか?」と聞かれると、胸を張って「実施しています」と答えている。
この物語で紹介したように、VAddyはセキュリティ専門職ではない人も手軽に使えるのが魅力だ。ビットフォレストで同ツールのマーケティング責任者を務める西野勝也取締役は「VAddyはもともと、プログラマーがデバッグツールのように簡単に使える脆弱性診断ツールを目指し、2015年に開発しました。それから改良を重ね、業務部門でも情シスでも、職種を問わず使ってもらえる仕組みにしています」と説明する。
物語でAさんが実感した通り、VAddyの一番の強みは、クロール、スキャン、レポートの3ステップで短期間に脆弱性診断ができるスピード感だ。「検査項目を数十個に広げるのではなく、本当に大切な項目だけに絞ることで、ユーザーがこまめに検査を繰り返せるようにしました」と西野氏は語る。
VAddyはSQLインジェクションとクロスサイトスクリプティングに加え、リモートファイルインクルージョン、コマンドインジェクション、ディレクトリトラバーサル、ブラインドSQLインジェクション、安全でないデシリアライゼーション、XML外部実体攻撃、HTTPヘッダインジェクション――の計9項目を検査できる。
「コストと時間をかけてどんなに詳細な脆弱性診断をしても、頻度が年に1〜2回程度では、その後の機能追加や改修のたびに脆弱性が生まれる可能性があります。VAddyを使って、これらの項目をこまめに検査すれば、脆弱性を見逃さずに対処できます」(西野氏)
また、同社の市川快取締役CTOによると、AI技術を使って検査を自動化していることも、専門職ではない人も手軽に使える要因だという。「検査中にログインセッションが切れたり、トークン期限が切れたりするケースは自動検知して対応するため、ユーザーが設定をする必要はなくなり、誰でも使えるツールになりました」と市川氏は話す。
人手不足によって社内にセキュリティ専門の部門を置けなかったり、費用や時間がネックになってセキュリティ企業への依頼をためらっていたりする企業にとって、こうした仕組みを持つVAddyは心強い味方になりそうだ。
またビットフォレストは、脆弱性診断ツールの利用が初めてで不安な人に向け、事前にVAddyの利用に関する個別相談会を行っている他、導入後にチャットでのサポートも受け付け、ユーザーが安心して導入できる体制を整えている。
物語には登場しなかったが、現実世界では新型コロナウイルスの感染が拡がっている。テレワークに移行する企業が多い中で、SaaS型であるVAddyは、場所や端末を問わず利用できるのも大きな魅力だ。
ビットフォレストは今後も、Aさんのように脆弱性診断を実施すべきか否かで迷っている人をサポートするため、AI技術による診断精度の強化と使い勝手の改善を進めていく。
市川氏は「ここ数年で、開発プロセスでは細かなテストを繰り返してバグを防ぐ手法が定着しました。思わぬインシデントを防ぐためには、脆弱性検査も同様に、こまめに繰り返し行うことが重要です。当社はこれからもVAddyの機能を強化し、そのフローの定着を後押ししたいと考えています」と意気込んだ。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社ビットフォレスト
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2020年10月22日