【対談】DX時代のセキュリティを一緒につくる〜ラックとエーアイセキュリティラボの両トップが展望を語る

クラウド型Webアプリケーション脆弱性診断ツール「AeyeScan（エーアイスキャン）」を提供するエーアイセキュリティラボとラックが業務提携^*しました。AeyeScanは、SaaS型の診断サービスで、時間と場所を問わないだけでなく、独自のAI画像認識技術を用いたユニークな特徴があります。

* プレスリリース：ラックとエーアイセキュリティラボ、DX時代の新しいセキュリティ診断モデルの構築で提携

DX時代を迎え、企業のWebアプリケーション開発が加速する中で、セキュリティ診断に求められるものは何なのか？
エーアイセキュリティラボの青木 歩社長と、ラックの社長を務める西本 逸郎の両トップが対談し、DX時代のセキュリティを展望します。

プロフィール

西本 逸郎（にしもと いつろう）
プログラマとして数多くの情報通信技術システムの開発や企画を担当。2000年より、情報通信技術の社会化を支えるため、サイバーセキュリティ分野にて新たな脅威への研究や対策に邁進。2017年4月に代表取締役社長に就任。イベントやセミナーでの講演や新聞・雑誌への寄稿、テレビやラジオなどでコメントなど多数実施。

青木 歩（あおき あゆむ）
2000年よりセキュリティ業界で営業・マーケティング業務に従事。特に外部からの攻撃への対策支援を中心に従事。また、ベンチャー企業での、営業・マーケティング組織の立ち上げ、成長実績を有する。2019年4月、経験豊富な同僚エンジニア3名とともにエーアイセキュリティラボを設立。

「標準化が難しい」というWebアプリケーション特有の診断事情

西本

御社の診断ツール「AeyeScan」には新たな時代の到来を感じます。どのような経緯でWebアプリケーション診断ビジネスを手掛けるようになったのでしょうか？

青木

それは、WebサイトやSaaSを含むWebアプリケーション領域の脆弱性診断の自動化がとても難しく、時間もかかるという課題を解決したいという考えから始まっています。

基幹系サーバやWebサーバ、ミドルウエア、ネットワーク機器などのインフラは、既にAIやクラウドによる自動化が進んでいます。これは、仕様など共通の部分が多く診断も自動化しやすいからです。

その一方で、Webアプリケーションは、各企業が独自の実装で自由に開発しているため、診断に手作業が必要なところが多く、労働集約的なプロセスが残っているのです。個々のWebアプリケーションの特徴のある部分を一つひとつ追求して見ていかなければ、脆弱性をもらさず診断することはできません。

しかし、ご存知のようにWebサイトへの攻撃は日々増え続け、被害も増加している実情もあります。セキュリティ診断に時間や費用をかけられないがために、被害に合う企業を目の当たりにしており、エンジニアとしてそれをなんとか解決したいという思いを持っていました。そして、標準化が困難な領域であっても、セキュリティ診断の自動化にチャレンジしてみたい。そういった思いでこの会社を設立しました。

西本

素晴らしいですね。ラックでも、セキュリティ診断を早く、安全にやりたいという要望をお客様からいただきます。しかし、手作業の多いセキュリティ診断では、自社のリソースも限られており、残念ながらご依頼をお断りすることも多いのが実情です。社内のエンジニアにも「AIを使ってさらに便利にできないか」と提案していたのですが、なかなか具現化できていませんでした。

そんな時に、AeyeScanが非常に便利だという話が社内で持ち上がりました。「ラックの人間が他社の製品をほめるのは珍しい」（笑）と思い話を聞いたのが、今回の業務提携のきっかけとなっています。

特に、セキュリティ診断のプロ向けツールとしてではなく、一般の方でも手軽に使えるという点は良いですね。御社のような優れた技術を持つ企業と手を握ることができれば、DXのスピード感にもキャッチアップしていけると期待しています。

「忖度しない」が両社の共通点

青木

今回、AeyeScanのトライアルをやって頂いた後に、ラックさんから協業の検討のお話をもらい大変光栄に思いました。セキュリティの第一人者であるラックさんにわれわれのツールを評価してもらえたということですので。

西本

こちらこそ、素晴らしい開発力を持つ皆さんと、巡り合うことができ良かったと思っています。初顔合わせの時に、エーアイセキュリティラボのエンジニアの皆さんにお会いしましたが、自分たちが作りたいものを作るという姿勢があり、決して忖度（そんたく）はしないという空気を感じとても好印象でした。

青木

エーアイセキュリティラボは、私以外の5人全員がセキュリティのエンジニアで構成されています。5人のエンジニアはいずれも職人気質なので......。西本社長とお話をしている際も、失礼は無いかと私は内心ひやひやしていました（笑）。ただ、手前みそですがエンジニア自身が技術力と実績に自信を持っており、サービスにもプライドを持っています。西本さんもそういった、現場のエンジニアの考え、姿勢に良い印象を感じて頂いたのかもしれませんね。

西本

現場の人の考えはとても重要です。エンジニアが本気でないと、良いものはできませんし、お客様に利用してもらえるものにはなりません。商品名になっている「Aeye（エーアイ）」という表現も何かエンジニアの方の思いが入っているのではと気になっていましたがどういう意味なのでしょうか？

従来型の診断ツールにはなかった「AIの目」という発想

青木

商品名には思いを込めています。もちろん人工知能としてのAIの意味もありますが、画像認識技術の「目」という意味で「Aeye」と名付けました。このAeyeこそが、われわれの価値を最大化する独自の要素だと考えています。

少し詳しく説明しますと、Webアプリケーションは独自開発、実装も自由な世界なので、アプリケーションの裏で動いているプログラムもまた、独自に変数が定義されています。従来の診断のアプローチでは、プログラムで書かれた変数を予測して次の画面の診断へ移っていくものでした。そうすると、変数がランダムであることによって、予測ができない箇所が発生し、Webサイトをくまなく探索できないという問題が起きていました。

そこで、AeyeScanでは、クラウド上の仮想空間にブラウザを立ち上げて、人間が目で確認するのと同じように診断を実施しようと考えました。例えば、ある診断対象の画面に入力欄があって、そこに「名前」と書いてあれば、漢字で姓名が書かれるフィールドだろうということが判断できます。このようにブラウザに表示される画面を、1つずつ目視で診断をしていかなくても人と同様の作業が行なえるわけです。人工知能の目（EYE）を使って画像認識をセキュリティ診断に取り入れようという発想は、従来型のツールになかったものです。特に、一般ユーザ向けのWebアプリケーションの診断などの場合、われわれのツールであれば、トップページのURLを入力してボタンを押すだけで、人間の目と同じ動きで診断する箇所を判別することができます。

西本

人間の目の代わりにAIの目で見るという意味でのAeyeだったのですね。恐れ入りました。がぜん期待してしまいます。御社としては、今回の協業によって、どのようなことを実現していきたいとお考えでしょうか？

青木

日本のセキュリティ市場をけん引するラックと組むことで、様々な指摘や改善のヒントをもらえることに価値があると思っています。逆に、私たちに期待しているところがあったらお聞かせください。

企業が自ら実践する時代に、DXにおけるセキュリティ診断とは？

西本

現在のラックのセキュリティ診断は、顧客が大手企業中心であるため、中小を含めたすべての企業の要求に対応できる体制にはなっていません。限られた人的なリソースも、プロとして検証すべき重要な領域に絞って投入したいという思いがあります。そのためには、AIなどの力を借りて自動化ができる部分が多くなれば、その理想に近づくわけです。
また、これまで事業会社の多くは、システム開発や運用を外注先のITベンダーに丸ごと任せてきており、セキュリティ診断もITベンダーが事業会社になりかわって、われわれのようなセキュリティベンダーに依頼していました。

しかし、今後はDXの実践やアジャイル開発など、事業会社が自らシステム開発や運用を行う体制に移行してきます。その際に、セキュリティだけを切り出して事業者に依頼するというのも現実的ではありません。事業会社が自らセキュリティ対策を実施しなくてはならなくなり、それにフィットするサービスも必要になります。従来のセキュリティ診断サービスでは時間や費用など、DXで求められる開発サイクルには対応が難しいため、そこはAeyeScanなどを使えばDXを推進する事業会社も、われわれのようなセキュリティベンダーも課題を解決できる可能性があると思います。

青木

まさにわれわれもこの先5年、10年を見据えてセキュリティ業界を変革したいという思いがあります。既に、ラックさんと歩み始めて見えてきたことがあり、新しいサービスの共同開発のアイデアも出てきています。

西本

エーアイセキュリティラボさんと一緒に、アジャイル時代にフィットしたセキュリティ標準を作りたいですね。アジャイル時代には、セキュリティ対策もアジャイルに実装できなくてはなりません。セキュリティの専門家を毎回呼ぶのではなく、事業会社が自分で診断を実施する際のフレームワークなども作れると良いですね。

もう1つ、新しい脆弱性が発見されたり、新しい攻撃が開始されたりというような脅威ベースをチェックするためのフレームワークのような、小回りの利くところにも使ってもらいたいです。キーワードはスピードです。即時性を重視した診断のあり方を一緒に確立できると面白いと思います。御社のような、将来を見すえた力のあるスタートアップ企業と手を組んでいくことは、ラックの将来にとって、重要なことだと考えています。