2 年間鳴かず飛ばずだった某クラウド脆弱性診断サービスが売上 10 倍になった理由～診断内製化の成功ポイント

　これまで「高度な職人技」とみなされてきた脆弱性診断。その診断業務の標準化を積極的に進める株式会社SHIFT SECURITYが、脆弱性診断内製化をテーマに、セミナー「サイバーセキュリティアカデミー」を7月下旬都内で開催した。

　セキュリティ診断のさまざまな課題解決の糸口を、診断内製化に見出そうとする担当者で、当日会場は満席となった。

　脆弱性診断内製化の成功ポイントはどこにあるのか。サイバーセキュリティアカデミーの二人のスピーカーである株式会社SHIFT SECURITY 代表取締役社長松野真一氏と、クラウド型Web脆弱性診断ツールVAddyを展開する株式会社ビットフォレスト取締役西野勝也氏の講演内容から探ってみよう。

●内製化成功のポイントは「見極め」

　優秀なセキュリティ診断員は、単なるセキュリティエンジニアとしての防御に関する技術や知見だけではなく、攻撃技術やハッキングのノウハウにも長けている必要がある。しかし、そうした「攻撃者視点の知見」は簡単に身につくものではなく、教育・育成に時間とコストがかかる。

　そもそも、そのような高度なセキュリティ人材による診断内製化は果たして可能なのか、意味があるのか。松野氏は講演冒頭で問題提起を行った。

　内製化のために、教育や研修に投資し、ときに組織体制を変えて準備を行っても、内製化の取り組みが成功するとは限らない、その最大の原因のひとつとして松野氏は、専門スキルを持つプロフェッショナルや職人を育てる方法が確立されていないことを挙げた。

　そのうえで松野氏は、どこまでを社内で内製化し、どこからを社外のセキュリティ専門企業に外注するのかを正確に見極めることが内製化成功の秘訣だと語った。

　たとえば、頻度が高い診断業務や、ツールによる診断の自動化が可能な診断業務は外注するよりも積極的に内製化するべきであり、一方で人力による膨大な単純作業や、その正反対の、高度な技術者でなければできないような診断業務は外注する、といった判断だ。

　膨大な脆弱性診断業務を、徹底的にブレイクダウンし細かく分け、これ以上細かくできないひとつひとつの作業レベルまで棚卸しを行った SHIFT SECURITY の知見によれば、脆弱性診断において、どうしても外注せざるを得ない専門性の高い作業は全体の約 20 ％であり、全作業の実に約 80 ％が、自動診断ツールや一般的練度の技術者でも対応可能な作業の集まりだという。脆弱性診断の 8 割は、自動診断ツールと一般的練度の技術者、いわば「愚直な SE」が対応可能なのだ。

●診断サービス市場「逆張り」の結果

　株式会社ビットフォレストは、2015 年にクラウド型Web脆弱性診断ツール「VAddy」をリリースし、「自動診断ツールでできる範囲の脆弱性診断は、開発者自身が自ら行うことがサービスのタイムリーなリリースやコスト削減につながる」というメッセージを開発者に向けて発しつづけてきた。

　開発体制だけでなく、開発者のマインドセットの進化をも促す取り組みとして、意識の高いエンジニアが集まる勉強会などで VAddy は高い共感を集めたものの、実はリリースから2年弱の間、まったくの鳴かず飛ばず、売れないサービスだったと、講演終了後の個別取材で、株式会社ビットフォレスト西野勝也取締役は本誌に明かした。

　しかし「この 2 年で状況が一変した（西野氏）」という。

　ひとつは「根本的対策」へユーザー企業の目が向いた。たとえば WAF（ウェブアプリケーションファイアウォール）は Web アプリの防御対策として有効だが、脆弱性はそこに潜在しつづける。

　また、セキュリティ診断需要過多の市場状況で、ユーザー企業が診断をしてほしいにも関わらず、当の診断会社が一年先までバックオーダーを抱えていることも珍しくなく、対応してもらえない、断られるなどの供給側の課題深刻化も、内製化を後押しした。

　決定的影響を与えたのは、IPA が 2019 年の 10 大セキュリティ脅威の 4 位に「サプライチェーン攻撃」を指摘したように、ターゲットの本丸である大企業のセキュリティレベルが上がったことで供給網や商流の弱いところを狙い撃ちにするサプライチェーンアタックの被害が増加したことだという。

　小規模の開発会社が、得意先から突然「脆弱性診断結果のレポート」を要求されたり、Web ページの作成が主業務のデザイナーに「ログインページの脆弱性有無の調査」「 SQL インジェクション対策の実施状況のレポート」を求められる事態が発生しているという。興味深いのは、得意先も要求される方も、SQL インジェクション等の何たるかをわかっていないところだ。

　2000 年代中盤、広告代理店の電通はすべての発注先に対して、プライバシーマーク取得を同社との取引継続の必要条件に挙げた。結果、国内でのプライバシーマーク普及が進んだが、サプライチェーンの安全対策見直しが、脆弱性診断の機運となっているようだ。

　多くの企業は、脆弱性診断を都度セキュリティ専門企業に発注する余裕はない。そこで、非技術者でも使いやすいインターフェースを持つ安価なクラウド型ツール「 VAddy 」がその需要にピッタリだった。

「 VAddy 」は 2 年間で売上を約 10 倍に伸ばす。

　脆弱性診断は高度なハッカー人材が行う、匠の職人技であり、属人性が高いことはサービス品質の高さとイコールであるとすらされてきた診断市場で、「誰でも使えるサービスを安く提供」「誰がやっても同じ診断結果」そんな、いわば業界潮流の「逆張り」をつづけてきたビットフォレスト社が、新しいセキュリティドリームをつかんだと言えるかもしれない。

●ツールが向いている診断範囲の「見極め」

　ツールによる脆弱性診断の内製化とはいうものの、ツール導入で問題解決というものでもない。内製化を成功させるポイントとして西野氏は具体的事例を挙げ注意を促した。

　ひとつは、アウトソースしていた脆弱性診断の作業をそっくりそのまま内部に展開しても成功しない。松野氏の指摘ポイントと共通するが、ツールの活用が有効な診断作業を見極めることが重要になる。

　また、すべてのサービスのチェックが情シスや品質管理部門など特定部署に集中してチェックが追いつかなくなることがあるという。「自動ツールなのだから」と依頼が殺到するだけでなく、依頼先が外部の企業ではなく社内の部門である気軽さ頼みやすさが問題に拍車をかけることもある。

　その場合は各部門自身に診断を実施させ、情シスやセキュリティ部門は、その診断結果のレビューを行うようにすれば、より上位の問題や脆弱性の発見に注力できるようになるという。

　最後に西野氏は、ツール診断「だけ」でセキュリティを担保できるわけではなく、検査精度の点では、社内外の技術者が行う「手動診断」はツール診断の上位互換関係にあると語り、両者の使いどころを見極める必要性を説いた。

●まとめ：自社に必要なサービスの「見極め」

　「ツール診断」と「手動診断」、運用の弱点などを突いて攻撃を試みる「ペネトレーションテスト」、金融業などに特化した「 TLPT（Threat-Led Penetration Test）」、そしてありとあらゆる診断とテストをやり尽くしてそれでも不安な Facebook や LINE などの企業が行う、脆弱性発見成果に巨額の懸賞金（バウンティ）をかけ世界の腕に覚えのある猛者に診断させる「バグバウンティ」など、多様なセキュリティ診断サービスが市場には存在する。

　しかし、たとえば、西野氏の言うとおり手動診断がツール診断の上位互換関係だとしても、ツールでできるレベルの診断をわざわざ人件費の高い著名エンジニアを指名して手動による診断などを依頼していたら予算はいくらあっても足りないだろう。

　どのサービスが劣っている優れているという訳では決してない。ユーザー企業は、自社のニーズを見極めることが重要であり、内製化を進めるうえでも忘れてはならない視点である。