「DiaForce Webアプリ診断安全点検パック／エクスプレス」が重宝される3つの理由

みなさんこんにちは。
チーフセキュリティコンサルタントの齋藤実成です。

ラックが2022年4月より提供を開始した「DiaForce Webアプリケーション診断 安全点検パック／エクスプレス（以降、安全点検パック／エクスプレス）」が今年の4月でマル1年を迎えました。

この1年間で約200サイトからセキュリティ診断の依頼を受けました^※。
「どうしてこんなにも多くの企業から依頼を頂けたのか？」という部分について、サービス担当者として振り返ります。

※ ラック、セキュリティ診断「DiaForce」のAIとRPAによる自動診断の実績が急伸し、診断全体の20％以上に

安全点検パック／エクスプレスが生まれた背景

安全点検パックとエクスプレスは、2022年にリリースしたAI・RPAを活用した新しいWebアプリケーション診断サービスです。

このサービスが生まれた背景としては、診断の概念が変わったことが大きいです。これまで診断は、Webサイトをリリースする時に時間とコストをかけて脆弱性を見つけるゲートウェイ的な考え方が主流でした。しかし、ここ数年で社会の状況が大きく変化し、「いかに速くITシステムを開発し、世の中にサービスを送り出すか」という世の中のニーズが高まっています。セキュリティ対策にも開発現場同様のスピードが求められるようになりました。

診断を利用している企業から頂いたお悩みの声（一例）

当社のセキュリティ診断を利用している企業からも以下のようなお悩みを多く頂くようになっています。

• 「短納期なのでWebサイトの開発スケジュールに影響を与えたくない」
• 「初回リリース時に多くの予算をかけることが難しい」
• 「アジャイル開発などを用いたプロジェクトでは繰り返し開発を行うため、都度診断を実施することがボトルネックとなっている」 など

丁寧な診断作業を行うために必要な時間、コストと、事業で求められる開発スピード、コストの間に発生する「歪み」が大きくなっていることを感じていました。

もちろん、時間を節約する工夫や、企業の事情に応じた柔軟な診断作業も数多く提案し、対応してきましたが、ニーズの多様化や件数の増加に伴い、柔軟な対応にも限界を迎えるケースが出てくるようになり、社内で社会が求めているセキュリティ診断の在り方をあらためて議論しました。

その中で、社会が必要とするセキュリティ診断は、「従来の診断サービスから得た教訓やノウハウを元に、一定の品質を維持しつつも提供スピードを上げ、コストを抑え、サービス運営者やその先にいる企業に安心・安全を提供すること」と定義し、この命題に応えるべく、プロジェクトメンバーの共通認識としてサービス開発を進めてきました。

安全点検パック／エクスプレスが大好評の3つの理由

理由1：素早く、低価格で、確実に脆弱性を発見できる

安全点検パックは、診断作業開始から報告書提出まで最短4営業日での提供（エクスプレスでは最短2営業日）を実現しています。様々な指標やノウハウを活用することで、検査精度は維持しつつも診断作業開始から報告書提出までの期間を短くできています。既に約200サイトの診断を実施しました。そこではサイトに含まれていた多くの問題点を発見でき、企業のリスク評価にしっかりと貢献できたと感じています。（詳細は下図参照、実績は2022年4月～9月のもの）

※ 参考：年1000件超の診断から見たウェブアプリケーションに作り込まれやすい脆弱性--前編 - ZDNET Japan

理由2：診断前後の手間が少ない

安全点検パック／エクスプレスでは、自動診断ツールとしてエーアイセキュリティラボ社が開発する「AeyeScan」というツールを採用しています。このツールは、画像認識の技術を活用して人間と同じようにWebサイトを見ることができるAI、つまり中々に「カシコイやつ」が搭載されています。

これによって、診断対象となるサイトの画面遷移図を自動で生成できるため、企業側で画面遷移図など診断に必要な参考資料を用意する必要がなくなりました。また、診断作業についても細かく診断ツール側で制御するため「人が行うべき作業のみ」に集中できる環境を実現できたことで、より良いユーザビリティを提供できたことも多くの企業に喜んでいただけたポイントだと考えています。

理由3：コストを理由にWebサイト診断を諦めていた企業を救う

企業から相談をいただくなかに、「うちはWebサイトが50サイトぐらいあるのだけど、コスト面からとてもじゃないけど診断・検査が実施できない。なんとかならないか？」といったコストに関するお悩みも多くあります。

安全点検パック／エクスプレスという高効率かつリーズナブルな診断サービスを提供できたことで、このお悩みを解決できるようになりました。

また、当社は「診断を実施した後のサポート・アドバイス」を得意としています。

大量のWebサイトを安全点検パック／エクスプレスで効率よく診断することで、結果の精査や評価など、人にしかできない作業に多くの時間を充てることができるようになりました。そのため、全体的な視点で「御社は全体的に、〇〇のリスクを抱えている状態です。世の中の被害を踏まえると△△の影響を受けることが想定されるため、□□といった対応を、このWebサイトから優先的に行うことをご検討ください。」といった部分まで支援できたことも、より企業のセキュリティリスク管理に貢献できた要因ではないかと考えています。

2023年のサービス利用に関するご案内

安全点検パック／エクスプレスによって、大量のWebサイトを高効率かつリーズナブルな形で診断を行うモデルを創ることができました。
次に解決するべきことは、診断申込の手間を減らすこと、Webサイトの診断結果を管理しやすい状態にする、だと考えています。

診断を実施した企業から頂いたお悩みの声（一例）

これまで当社のセキュリティ診断を実施した企業からも、申込や管理の面で下のようなお悩みを頂いています。

• 診断時に、メールでエクセル・PDFなどのやり取りが発生しないようにしてほしい
• 全体的な傾向や、サイトの経年変化が分かるようにしてほしい など

このような声に応えるため、診断の申込と結果の確認を一元的に行える「DiaForce脆弱性管理クラウド」の提供を2023年4月から開始しました。「DiaForce脆弱性管理クラウド」は、安全点検パック／エクスプレスを購入して頂いた企業は無料で利用することができます。

「DiaForce脆弱性管理クラウド」によって、企業がこれまで診断の際に実施していた下のような悩みを解決することができると考えています。

課題1：診断を"計画"する時に、過去の診断結果や管理台帳をファイルサーバなどから掘り起こして、診断していないWebサイトを確認するので、現状把握に時間がかかる

安全点検パック・エクスプレス診断を行ったWebサイトは「DiaForce脆弱性管理クラウド」で確認できるので、現状把握のためにファイルサーバを掘り起こす必要はありません。

課題2：診断を"実施"する時に、毎回申込書（問診票）を書いて、メールで送る手間がかかる

「DiaForce脆弱性管理クラウド」に前回の申込書（問診票）が保管されているので、変更点だけ更新してアップロードすれば完了です。わざわざ申込書を添付したメールを作成して送付する必要はありません。

課題3：診断の"結果を確認"する時に、過去の診断結果をメールやファイルサーバなどから掘り起こして、前回との違いを確認するので時間がかかる

過去の診断結果や経年変化が「DiaForce脆弱性管理クラウド」の画面上で確認できるので、以前の結果を確認するためにメールやファイルサーバを掘り起こす必要はありません。

これからも、当社はリスクの可視化が必要なセキュリティ診断未実施のWebサイトを少しでも減らしていけるよう、デジタル化の技術・当社ノウハウを活かし、診断にかかる手間や時間を削減することで、企業のDX推進の力になってきたいと思います。