お問い合わせフォーム、会員登録ページ、ECなどにおけるショッピングカートや決済システムなど、Webサイトでは数多くのWebアプリケーションが利用されている。そして近年、このWebアプリケーションの脆弱性を突いた攻撃が急増している。Webサイトを運営している企業・団体にとって、Webアプリケーションの脆弱性対策は急務と言えるだろう。しかし、これらの対策を実行するためには大きな課題が立ちはだかる。それが予算と人材の不足だ。

今回は、2007年の設立時から「脆弱性診断サービス」を提供してきた実績を持つユービーセキュア代表取締役社長の佐藤健氏と、取締役 兼 専務執行役員の松岡秀和氏にセキュリティ診断における現在の企業動向について解説いただいた。

増え続ける情報セキュリティコストと圧倒的に不足する人材

本題にはいる前に、NRIセキュアテクノロジー株式会社が2014年に行った「企業における情報セキュリティ実態調査」の結果を紹介しよう。まず、「セキュリティ関連投資額を増額する企業」は過去3年で増加傾向にある。その一方で、「情報セキュリティに従事する人材が不足している」と考える企業の割合は、8割以上にも上る。

巧妙化、高度化するサイバー攻撃に対応するためには、より高度な専門性を持つ人材が必要とされる。だが、そのような人材を確保することは非常に困難であり、結果として情報セキュリティの現場は常に人材不足の状態となっている。

情報セキュリティ診断の課題として、「実施するための予算が確保できない」が37.0%と一番多く、次いで「実施するための人員が確保できない」が32.9%となった。
出典:「2014年 企業における情報セキュリティ実態調査」(NRIセキュアテクノロジー株式会社独自調査:アンケート回答企業数660社)

コスト削減と人材育成のため、情報セキュリティは内製化する傾向に

株式会社ユービーセキュア 代表取締役社長 佐藤健氏

コストの増加と人材不足。これらの課題を解消するために「現状は、多くの企業が情報セキュリティを内製化する方向に向かいつつある」と佐藤氏は語る。

ユービーセキュアでは、Webアプリケーションの脆弱性を検出するツールとして「VEX」をリリースしている。佐藤氏によると、これまではWeb開発会社が納品するサイトを診断するために導入するケースが多かったVEXが、「最近では、Webサイトを運営する方々からお問い合わせいただくケースが増えてきています」とのことだ。

新しい脆弱性が日々公開される昨今、Webサイトの安全性を保つためには、サイトリニューアルやWebアプリケーションの機能追加などでサイトが更新される際には、必ず脆弱性診断を行うべきである。さらに、定期的な脆弱性診断を実施することができれば、サイトの安全性をより高めることができるだろう。だが、その都度、脆弱性診断を外部にアウトソースしていては、大変なコストがかかってしまう。しかも自社内にノウハウが溜まることもなく、人材の育成にもつながらない。

しかし、VEXなどのツールを利用すれば、脆弱性診断を自社のセキュリティ部門で内製化することが可能となり、コスト削減が可能となる。さらに、情報の共有やノウハウの蓄積による作業効率の向上や人材育成につなげることもできるだろう。

「VEX」で情報セキュリティの内製化を推進するユービーセキュア

同社 取締役 兼 専務執行役員 松岡秀和氏

VEXは、高い検出性を持つ純国産Webアプリケーション脆弱性検出ツールとして人気を誇っている。だが松岡氏によると、発売が決まった当初は社内から異論が噴出したという。

「私たちは脆弱性診断サービスを生業にしていますので、『内製化を進めるツールを販売することで、自ら対抗製品を生み出してしまうのではないか』という意見もありました。ですが、いろいろとセキュリティ事情を調査していくうちに、企業の情報セキュリティは内製化に向かうという確信を持ち、舵をとることを決めました」(松岡氏)

そして実際に発売してみると、さらなる付加価値をもたらすこととなった。「実際に内製化を進めるためには、導入時点でしっかりとしたトレーニングが必要になります。そのため、製品単体としての導入ではなく、トレーニングも含めたソリューションとしてのご要望が多くなってきたのです」(松岡氏)

こうした要望が増える一方で、脆弱性診断サービスも、より専門性の高い高度な要件についての相談が増えることとなり、「企業の情報セキュリティは内製化に向かう」という狙い通りの事業展開ができたという。

小規模から大規模へ、純国産として人気の「VEX」

VEXの導入そのものは、それほど難しいものではない。最近の事例では、富士通グループ全体に導入する際に、わずか一ヶ月で必要な体制を構築し展開することができたという。

「ただこのような例は、ITリテラシが高い企業様ならではといえます。一般的な企業であれば、トレーニングも含めて、三ヶ月から半年くらいを導入期間としてみていただければと思います」(佐藤氏)

現在のビジネスでは、業務や事業の内容に関わらずWebサイトを利用するケースは非常に多い。そのため、情報セキュリティ内製化の傾向にともない、品質管理部門から開発部門や広報部門へ、また親会社から関連子会社へと、VEXのような脆弱性検査ツールが利用される幅が広がってきているとのことだ。

最後に、VEXの機能を簡単に紹介しよう。最大の特徴は、なんと言っても、その高い検出率である。また多彩なレポート出力も大きな魅力の一つだ。純国産性であるが故、日本語のレポート出力の面では大きなアドバンテージがある。また、マルチバイトの対応など、日本独自の脆弱性対策や迅速かつ細やかなサポートなどが、多くの国内企業より高評価を受けているポイントと言えるだろう。なお、近年ではモバイル対策として、Androidアプリの脆弱性検査機能の提供も開始しているとのことだ。

豊富なレポート出力機能を搭載

株式会社ユービーセキュア

ユービーセキュアのホームページでは、VEXの詳細や具体的な導入事例が紹介されている。情報セキュリティの内製化について興味がある方々は、一度参考にしてみてはいかがだろうか。

導入事例はこちら >>
ホームページはこちら >>