脆弱性診断の新常識――顧客から急に「セキュリティチェック、やっていますか？」と聞かれても対応できる方法とは？

[PR／ITmedia]

PR

　昨今のビジネスにおける取引では、Webサイトの納品時やWebサービスの契約時に、企業が顧客から「セキュリティチェックシートを提出してほしい」と求められることが増えている。このシートは企業のセキュリティ対策の状況を詳しく聞くもので「脆弱性診断の有無」がチェック項目に含まれることがほとんどだ。

　しかし対応を迫られている現場では「セキュリティ対策の専任部門がなく、脆弱性診断に手が回らない」「運営するWebサイトが多く、脆弱性診断にかけられる予算が足りない」といった課題が生じることも多い。その背景には、一般的な脆弱性診断の価格と、セキュリティ人材の人手不足がある。

　と言うのも、これまでの脆弱性診断では、企業が外部の専門ベンダーに診断を依頼するケースが多かった。この方法は専門家の手にチェックを委ねられるメリットがある一方で、数百万円単位のコストがかかる点や、結果が出るまでに時間がかかる点などの課題があった。また、リリース前の診断で脆弱性が発見された場合のアプリケーションの修正コスト（手戻りコスト）も見逃せない問題だった。

　コスト削減のために脆弱性診断ツールを使って“セルフ”で診断することも理論上は可能だ。だがセキュリティ人材がいない企業では、セキュリティ専任ではない担当者が診断をスムーズに進めるのは簡単ではない。ツールの設定が複雑だったり、検査結果の読み解きが難しかったりといった要因で、担当者がつまずくケースも多かった。

脆弱性診断は新時代へ！　低コストで主要な脆弱性を診断できる「VAddy」

　「お金も人手も足りない中で脆弱性診断を求められ、どうすればいいか分からない」。そんな課題を抱える企業をサポートするため、ビットフォレストは、クラウド型脆弱性診断ツール「VAddy」を提供している。

「VAddy」公式Webサイト

　VAddyの特徴は、セキュリティの専門家でなくても手軽に使えることだ。担当者がオンラインで申し込み、検査したいWebサービスやサイトを指定すると、すぐに診断を開始できる。料金は月額5万9800円で、予算が限られている企業でも手が届きやすい。検査時間も平均12分と短く、クラウド／オンプレミスといった環境を問わずに診断できるのも魅力だ。

従来の脆弱性診断と脆弱性診断ツール「VAddy」の比較

　手軽に使えるからと言っても、検査項目が現実的な脅威に対応できていなければ意味がない。そこでVAddyでは、SQLインジェクション、クロスサイトスクリプティングなど9項目の診断に対応している。これらは、ビットフォレストが開発しているWAF「Scutum」でキャッチしているサイバー攻撃の90％*を占めており、必要十分な範囲をカバーしている。（*2019年7月にクラウド型WAF「Scutum」で観測された攻撃リクエストを元に算出）

　VAddyを使うと、数百万円という予算を用意できなくても、セキュリティ担当者がいなくても、充実した診断を自社で行える。従来の脆弱性診断とは一線を画したサービスだと言えるだろう。

　VAddyが適しているのは、人や時間が足りない企業だけでない。「脆弱性診断の重要性を認識しておらず、顧客の指摘によってあわてて依頼先を探している企業の“駆け込み寺”的な役割も果たしています」と、ビットフォレストの西野勝也取締役は説明する。

ビットフォレストの西野勝也取締役

　「これまで約300社にヒアリングしたところ、その半数以上が過去に脆弱性診断を実施した経験がありませんでした。今まで脆弱性診断を知らなかった企業や、重視していなかった企業にも、その重要性が浸透しているのでしょう」（西野氏）

　では実際のところ、VAddyのユーザー企業は、どんなメリットを得たのだろうか。西野氏がこれまで接したユーザー企業の中から“ビフォーアフター”を3つ紹介しよう。（注：以下のエピソードは、複数の企業の実例をもとに再構成したものです。特定の企業を指しているものではありません。）

数十ものWebサイトを「VAddy」で効率よく診断

　1つ目の導入事例は、数十ものWebサイトを運営するA社。事業の拡大に伴ってWebサイトを増やしたものの、セキュリティ専門ベンダーによる手動の脆弱性診断を一つずつ実施するには予算が足りなくなった。それぞれに数百万円のコストをかけると数千万円の支出が生じるからだ。

　そこでA社は、運営するWebサイトをいくつかのグループに分割。今年はAグループ、来年はBグループ……といった具合で、セキュリティ専門ベンダーによる診断をローテーション方式で行うことにした。だが、この方式ではコストを節約できるものの、一度に診断を受けられるグループが限られていた。診断を受けたグループに再び順番が回ってくるまでに期間が空き、その間に機能追加や改修が行われた場合に、脆弱性が混入する可能性もあった。

　この課題の解決に向けて、A社はベンダーによる脆弱性診断の順番が回ってこないグループのセキュリティチェックにVAddyを採用。最低限のコストで、全てのWebサイトで一定のセキュリティ水準を保つことに成功した。

　「数多くのWebサービスを扱っている企業では、脆弱性診断について『手間がかかりそうなので、なるべく避けたい』というイメージを抱く担当者が多いようです。しかし、診断のプロセスを工夫し、VAddyを組み込んでもらうだけで『あれ、もうできた』と驚かれます。拒否反応を取り除けるだけの、使い勝手の良さがあると自負しています」（西野氏）

顧客からのセキュリティチェックの要請に「VAddy」で対応

　2つ目の導入事例は、SaaS型のクラウドサービスを展開しているB社だ。この企業は、サービスの立ち上げ直後からスピード感をもって改善を繰り返しており、ユーザーからのフィードバックを素早く機能に反映する姿勢で多くの支持を得てきた。だがその反面、セキュリティ対策は後回しになりがちだった。

　ところが最近、大手企業との取引が増えてきたこともあり、契約の条件として「セキュリティチェックシートを提出してほしい」と求められるケースが増えてきた。シートに書かれている項目はユーザー企業ごとに異なるものの、ほぼ全てのシートに「脆弱性診断実施の有無」が書かれており、中には「診断の頻度」や「最後に診断を実施した日」を記入するものもあった。

　B社は、こうしたユーザー企業からの要望に応える方法を検討した結果、外部の診断会社に依頼するやり方は自社の開発サイクルに合わないと判断し、診断そのものを自社内で行うことを決意。そのためのツールとしてVAddyを採用した。

　VAddyは複雑な設定が不要で、マニュアルなどのドキュメントも充実している。そのためB社では、クラウドサービスの設計・企画・マーケティングなど、セキュリティが専門ではない担当者でも簡単に脆弱性診断ができている。今では、大手企業以外からセキュリティチェックシートの提出を求められることも増えているが、社内で回答内容をテンプレート化できるようになったそうだ。

　「VAddyの個別相談会に来て下さる方のうち、参加理由として最も多いのが『クライアントにセキュリティチェックシートを提出するため』です。昨今は、診断の有無や頻度、最後に診断を実施した日などを細かく聞かれるようになったと伺っています。VAddyを使えば、Webサイトやアプリケーションに新機能を追加するたびに診断を実施できますし、エビデンスとしてのレポートを発行できるので、シートの作成・提出といったニーズに応えられると考えています」（西野氏）

手軽なセルフ診断ツール「VAddy」の検査の流れ

「脆弱性診断ツールは複雑で難しい」こんな悩みもVAddyで解決

　3つ目の導入事例は、官公庁や地方自治体などの公式Webサイトを開発しているC社だ。C社は昨今、顧客に当たる行政機関などから新たなガイドラインを提示され、それに沿って脆弱性診断の実施を要求されることが増えた。

　さらに、大手のWeb制作会社の中には、全ての納品物について自主的に脆弱性診断を行う企業が出てきていると聞いている。そこでC社はオープンソースの脆弱性診断ツールを使って診断を内製化する方法をテストした。

　ただしこのツールは、マニュアルが英語である他、適切な設定方法や診断結果の読み取りにも一定のスキルが求められる。OSSであるがゆえにベンダーのサポートも受けられない。使いこなすには、自社内のエンジニアをセキュリティ担当として一から育て上げるか、専門知識がある人材を新たに雇うしかなかった。そこでVAddyの導入を決めた。

　C社は現在、ビットフォレストのサポートを受けながらVAddyを使って脆弱性診断を内製化し、ガイドラインに沿った検査結果を行政機関に提供している。ビットフォレストは手厚いユーザーサポートに力を入れており、特にチャットでの問い合わせでは、技術者を含めた担当者が数分以内の対応を徹底している。このこともC社の大きな助けになっている。

　「OSSのツールは高機能ですし、無償で使えるメリットがあります。しかし、自力でマニュアルなどを探し、手探りで診断を進めなくてはなりません。手順や結果の見方がもし間違っていても、それに気づかないケースもあります。スキルアップの一環で触れると勉強になりますが、業務利用には難しい面もあります。こうした事情でOSSを使いこなせなかった企業にも、VAddyは役立つはずです」（西野氏）

【実際のVAddy導入事例はこちらから】

セキュリティ対策の徹底は、顧客との信頼関係にもつながる

ビットフォレストの市川快取締役CTO

　VAddyはこのように、もともとセキュリティ対策に取り組んできた企業はもちろん、顧客からの要請を受け、人手や時間、予算が十分でない中で脆弱性診断をやらざるを得なくなった企業にとって心強い味方になっている。

　Webブラウザから利用できるため、コロナ禍におけるテレワーク環境下でも迅速に診断結果を社内共有できるのも、企業の担当者には嬉しいポイントだ。

　ビットフォレストの市川快取締役CTOは「VAddyは単に、Webサイトやアプリケーションの脆弱性を可視化するだけでなく、ユーザー企業と取引先の信頼関係を強める効果もあると考えています」と強調する。

　「脆弱性診断を実施したいが、何から始めれば良いか分からない」と悩んでいる企業の担当者は、ビットフォレストが定期的に開催している「VAddy」オンラインセミナーに参加してみてはいかがだろうか。