技倆(ぎりょう)の高い脆弱性診断士が行う診断作業は、単なる業務ではなく高度にクリエイティブかつ尊い行為であると思われており、やっている本人も極めて充実した一秒一秒を生きている。
以前、小さな子供から老人までその名を知るような大企業の「脆弱性診断発注候補リスト」というのを目にする機会があったのだが、そこには「当社が診断を発注する場合、必ず次にあげる企業のどれかにすること」と前置きした上で、3 ~ 5 社の個社名が挙げられていた。
それら企業の特徴と共通点は明白。それは、所属する技術者による JVN や国際バグバウンティ等への脆弱性報告が活発な企業、あるいは DEF CON など CTF 競技の参加あるいは入賞実績があることなど、換言するなら、最高に優れたホワイトハッカーが多数在籍し、彼ら彼女らが「手動で」針の穴を穿つような集中力を発揮して、地球の裏側に達するような深い診断を行うという、そんなブランドが確立している企業ばかりだった。
こうした、エンジニアの才能や不断の研鑽に基づく診断サービスと対極にあるかもしれないのが「ツールを走らせるだけの診断」である。手動のプロセスや人による判断が当然含まれはするものの、あくまでツールを動かした結果が報告書として納品される。ツールメインの診断サービスは、クリエイティブでも深くもなく、場合によっては真実にたどりつけない、グレードや質が違うものとみなされることがある。
だから、株式会社ラックの齋藤 実成(さいとう みなる)は、AI を活用して脆弱性診断を自動化するツールの検証担当になったとき、流行の技術を活用して目先の新しさで注目を集めているだけのものではないかと予期していた。齋藤やその同僚のような熟練の診断士が行う、丁寧に Web アプリの画面遷移をたどっていくような活動を、AI などに再現できるはずないとハナから疑ってかかった。
一方、その AI を駆使した脆弱性診断ツールの開発企業 株式会社エーアイセキュリティラボの関根 鉄平(せきね てっぺい)もまた、自身らが開発したツールがラックによって検証されると知ったとき、脆弱性診断ツール「AeyeScan(エーアイスキャン)」の機能以前に、そもそも診断作業を自動化しようとするコンセプト自体が受け容れられないのではないかという危惧を最初に抱いた。できている点を評価するより、できない点ばかり積極的に槍玉に挙げるような検証が行われたら、育つはずの新技術も、育たなくなりはしないか。
技術者による診断を至上として四半世紀にわたりサービスを提供してきた「脆弱性診断の北壁」ラック社と、それを自動化せんとするエーアイセキュリティラボ。本稿は、水と油のように異なる背景を持つかに見えた二つの会社とそれぞれの技術者達が、およそ 3 年にわたる活発な議論とコミュニケーション、もっと言うなら「戦い」を繰り広げた成果を考察するインタビューである。(編集部註:ちなみに「リスト」の中にラックはあった)
--
●事故ゼロ化を目指して ~ ラック診断サービスの概要
── まず、株式会社ラックのセキュリティ診断サービスの概要をお聞かせ下さい
齋藤:当社は「信じられる社会の形成」をパーパスとしており、セキュリティ診断の事業はセキュリティ事故を未然防止する「事故ゼロ化」の役割を担っています。
「DiaForce(ディアフォース)」という名称で、Webアプリケーションの検査、ネットワークや VPN のプラットフォーム環境の検査、近年多いクラウド環境の検査を提供しています。その中でも Web アプリケーションの脆弱性を検査する「DiaForce Webアプリケーション診断 安全点検パック」「DiaForce Webアプリケーション診断エクスプレス」というサービスのスキャンエンジンにエーアイセキュリティラボさんが提供する AI を活用した脆弱性診断自動化ツール「AeyeScan」を採用しています。AeyeScan が効率的に自動で診断を行う部分と、診断員が細かい手動診断を組み合わせて検査できることが強みになっています。
●社長と同僚、双方から情報を得たことがきっかけ
── AeyeScan を知ったきっかけは何ですか?
齋藤:「こんな面白いツールがあるんだけど」と社内で耳にしたので、調べてみるとエーアイセキュリティラボが開発元であることを知りました。ちょうど同時期に社長の西本からも「面白い取り組みをしていて、思いのある会社さんだから、一度話を聞いてみて」と、エーアイセキュリティラボを紹介されてもいました。
関根:私は前職にいたときから OWASP Japan や ISOG-J(日本セキュリティオペレーション事業者協議会)のコミュニティに参加していたのですが、確か上野(宣)さんから「転職して新しいツールを作っているみたいだけど、どんなものなの?」と言われて、コミュニティの集まりで簡単にデモをさせていただいたんです。もともと AeyeScan は、いわゆるセキュリティベンダーさん向けに提供していないものでしたので、売るつもりは全く無く、何か良いフィードバックが得られるかなくらいの軽い感じでした。それが「なかなか良かった」という評価をいただいて、ラックさんに話がつながったのかと思います。
── AeyeScan はユーザー企業の診断内製化を目的に作られたと聞いていますが、ラックのようなセキュリティ診断企業が AeyeScan を使うことは想定していなかったということですか
関根:そうです。全く想定をしていなかったというわけでもないですが、イメージはほとんど持っていませんでした。何も手を触れずとも自動で診断ができるというのが AeyeScan のコンセプトだったので、セキュリティ診断のプロの方ではなく、ユーザー企業の情報システム部門の方などに使っていただくため開発していました。
ここでちょっと裏話を申し上げると、セキュリティコミュニテイで「AeyeScan を見せてほしい」と言われたとき、ちょっと「イヤだな」と思ったんです。セキュリティ診断のプロの方に見せると何か言われそうだなと。
──「言われる」というのは、たとえば欠点だけを声高に糾弾されちゃうとかそういう
関根:そうですね。「全自動」で「楽」に「簡単」に脆弱性診断を実施するという AeyeScan のコンセプトは、従来の診断のプロフェッショナルの方の、顧客の特殊な環境や業務にチューニングにチューニングを重ねて診断を行うという考え方と、相反するところがあると当時は思っていましたので。
● ラックの「プライド」とは
── AeyeScan はラック社内でどう受け容れられましたか。「どうせ役に立たないんじゃないの」みたいな否定的意見はありましたか?
齋藤:ラックという会社は、診断員がひとつひとつ手作業で細部まで見て、他社が発見できない脆弱性をいくつも探し出す手動診断を重要視しています。
その理由は、我々がサイバー攻撃者や犯罪者の視点に立って攻撃をしなければ、決して見つけることができない領域があるというのが、技術者としての矜恃、プライドのようなものになっているからです。ですから「本当にこのツール入れるの?」といった反応は社内に強くありました。
私の捉え方ですが、技術を積み上げてきたからこその「プロ意識の表れ」であり、また業務がツール診断だけになると、技術者として面白くないし、エンジニアとしてのワクワクや成長が無くなるのではないかということだと思います。
しかし、近年社会のデジタル化のスピードが圧倒的に早くなっており、当社でも受けきれないほどの相談が続いています。大企業のお客様からは、グループ会社を含めて 100 を超える Web サイトを診断して欲しい、その結果をIT ガバナンス強化に活かしたいという相談も増えています。
こういう状況に対して我々も、デジタル化や AI など、機械に任せられる領域を広げて「脆弱性診断事業」を発展させ、診断員の生産性を上げることで、ひとつでも多くのサイトや、 1 社でも多くのお客様のシステムを安全に届ける貢献をしていくことが目標になっていました。
●ラック技術者による徹底的検証
──「脆弱性診断事業の発展」 に役立つツールを探していたと思いますが、AeyeScan 以外の候補はありましたか?
齋藤:具体的なツール名は控えますが、主要なツールはすべて検証しました。ラックには「検証するなら徹底的に見てやるぜ」というエンジニアが多いので、そういうある意味厳しい目で AeyeScan の検証も行われました。
検証のポイントは、大きく分けて二つの観点がありました。ひとつは脆弱性を見つけるスキャンエンジンの品質に関わる「検出精度」、もうひとつは Web サイトを利用するユーザーが、たとえばログイン画面で ID とパスワードを入れてログインボタンを押すような動作がどれだけ AI に再現できるのか、専門用語で言うと「クローリング精度」です。
── 検証の結果はどうでしたか?
●「衝撃的」だった検証結果
齋藤:恥ずかしながら最初は「自動化なんて言っても使いものにならないだろう」と思っていました。しかし検証する中で、「マジか!!」っていうぐらい衝撃と気づきがあったんです。
AeyeScan のクローリング精度は、他社でまねできないレベルだったのです。いろいろなツールや製品の検証をしている当社から見ても衝撃的でした。これは本当にすごいツールだなと。
── 具体的にどんなところが「衝撃的」だったんですか?
齋藤:診断サービスを提供するエンジニアの世界では、ID とパスワードを入れてログインしたり、問い合わせフォームに氏名やメールアドレスを入力する一連の操作を「シナリオ」と呼んでいますが、そのような人間の操作をちゃんと実行できるかという点で AeyeScan はすごく精度が高いです。
当社のようなエンジニアが手作業で検査を組み立てるセキュリティベンダーは、人間の操作を細かく、それこそ通信のログごとにだったり、HTTP リクエストのひとつひとつの通信ごとに診断員が目で見て分析するのですが、この部分をある程度 AeyeScan に任せることで生産性が向上しました。
●「使い方がわからない」というつまずきはない
── 実際に AeyeScan を導入していくにあたって苦労した点はありますか?
齋藤:つまらない話になってしまうのですが、まったく苦労していないんですよ。エーアイセキュリティラボの関根さんからお話があった通り、プロではなく素人でも簡単に扱えるようにするのが AeyeScan の設計思想ですから、プロが取り扱うにはまったく時間がかかりませんでした。そのぐらい AeyeScan というのは使いやすくてよく考えられているツールだと思います。よくお客様からも「これうちでも使えますか」と、内製化ツールとして使いたいという相談が来ます。AeyeScan は、使い方がわからないというつまずき方はしないツールだと思います。
── 作業時間の圧縮の話がありましたが、導入効果を具体的な数字で示していただけないでしょうか
齋藤:ラックの手動診断サービスの場合、報告書を提出するまでおよそ 7 営業日から 10 営業日ぐらいかかっていました。これが、AeyeScan を活用した「DiaForce Webアプリケーション診断 安全点検パック・エクスプレス」では、最短で 2 営業日から 4 営業日程度で報告書を収めることができます。月曜日に診断を開始すれば遅くとも金曜日までに報告書を受け取れるという、お客様の求めるスピード感に合うサービスです。
また AeyeScan には、管理画面上に報告書を自動作成してくれる機能があるのですが、完成度が高く、納期短縮に役立っています。
診断後、エンジニアが手動で見つけた脆弱性を管理画面上から追記できるのがとても便利です。そもそも報告書の自動作成やその完成度に目をつけているツールはほとんどないのです。これは、「素人でも診断できる様に」という設計思想だからこそだと思います。
実はこの報告書作成の機能に関しては、当社からエーアイセキュリティラボさんに「ここはこうしてくれ」と強く要望を申し上げる過程で何度もぶつかったところでもあります。しかしその結果、報告書のレポーティング機能はものすごく良くなったと思います。
当社が提供するWeb アプリケーション診断サービス全体の 10 %から 20 %を 「安全点検パック・エクスプレス」で実施しています。また、重要な点として、AeyeScan を使うことによって対応できる診断の絶対量が2倍以上に増えました。
●一緒に成長できるための不可欠の条件
── 検知及びクローリング精度以外に AeyeScan 導入の決め手となったことはありますか?
齋藤:脆弱性診断事業を発展させる中でAeyeScan は、国内ベンダーが開発していて、ユーザーの要望にスピーディーに答えてくれる会社でした。
とにかく不具合の修正が早いんです。エンジニアの人たちが、まるで生き物を扱うようにアップデートしてくれるので、失礼なもの言いになりますが「ラックの求める水準」に合っていました。
「この会社となら互いに手を取って成長していけるだろう」と感じたことが協業の決め手になりました。一緒に成長していくために不可欠な条件である「ストイックさ」を感じました。
よろしいですか、この AeyeScan というツールは、去年 2022 年の 12 月 6 日と、今日 2023 年 12 月 6 日(編集部註:取材実施日)では全く別物なんです。使っているとわかります。生き物のようにどんどん成長し形を変えていきます。最初は 0 歳児で何もできないところから始まったのに、すぐに人の手を必要とせずに自分で歩き始めたり、物を手に取ったり、自分で勉強できるようになったり、そういう人間的成長すら感じます。
●単に「直す」ではなく「正確に直す」
── 斉藤さんは具体的にどんな点に、エーアイセキュリティラボのストイックさを感じますか?
齋藤:エーアイセキュリティラボさんとは、週 1 回の定例会議を設けて、密にコミュニケーションを取っているのですが、「ここの技術面に対して不満があるので何とかしてほしい」「こういう不具合を見つけたから直してくれ」という要望に対して、本当にすぐに直してくれます。しかも正確に直すんです。そこがすごいところだと思いますし、明確に他のツールベンダーと違うところだと思います。
── 不具合があってそれが直るとしたら、それは単に直るだけだと思うのですが、「正確」とはどういうことですか?
齋藤:当社はエンジニアの技術力が高いので「あれ、このスキャンルールが入っているのに、なぜこの脆弱性は見つからないの?」といったことに気付きます。もちろん自分でそのような脆弱性を見つけることもできます。
そういう「クローリングによる自動巡回では発見できなかったが、手動で画面を設定したら発見できた」ような不具合を、ハリボテのように直すなら、単に検査ルールを一行追加して「検知できるようになりました」と回答しておけばいいですし、それで不誠実ということはないんです。しかし、エーアイセキュリティラボの技術者は違います。
彼らは「プライドだ」と言っていましたが、特に脆弱性の検査ルールのような品質に関わるところをラックから指摘されると、すごく真剣に考えて、「こういう理由で検知できなかったが、今回こうしたので今後は検知できるようになった」と論理的に返してくれるんです。このような細かいやり取りができるのは、本当に国産ベンダーならではだと感じますし、エンジニアとしてのストイックさに共感します。
●単なるツールベンダーでは・・・
── 齋藤さんの話を聞いていると、ラックにとってエーアイセキュリティラボは単なるツールベンダーや出入業者ではないようです。お互いが影響を与えているというか・・・
関根:そうです。何か要望をいただいた際は、「そういう課題背景があるのなら、もうちょっとプラスして、さらにこの機能やもっと新しい機能を提供した方が、本質的解決に繋がるんじゃないか」そんな話がラックさんとの打ち合わせの中でよく議論されるので、誤解を恐れずに言うと「お互いにいい意味で影響し合っている」とよく感じます。
おっしゃったような単なるツールベンダーとして「これをこうして」と言われて「はい やります/やりません」という話ではなく、こうしたらもっと AeyeScan が良くなって、さらにラックさんのサービスも良くなる、社会に貢献できる、そんなイメージを持っています。
齋藤:本当にエーアイセキュリティラボの皆さんと関われたことがすごく幸運だなと思います。
●最大の勇気:スキャンエンジンへの採用
── 現在、AeyeScan はラックの診断サービスの正式なスキャンエンジンとなっているのですね
齋藤:そうなんです。一番勇気が必要だったのはスキャンエンジンに AeyeScan を採用すると社内で決めたときでした。
ラックが手掛けている自社開発エンジンは手動診断に特化した、徹底的な検査をするためのエンジンです。当社のセキュリティ監視センター「JSOC」や、インシデント対応に駆け付ける「サイバー救急センター」といったセキュリティ事故を目の当たりにする組織がラックにはたくさんあります。そこから得た知見を検査ルールに加えていくので、ラックの検査ルールは他社よりもセキュリティ事故に直結するものを見つけられます。これは自社開発エンジンにしかできないことであり、ラックの強みです。
●顧客の「ありがとう」が変えた
── AeyeScan を正式なスキャンエンジンとして採用して以降、何か変化はありましたか
齋藤:エーアイセキュリティラボと組むことで、今までラックが解決したくてもできなかった、たくさんのお客様の課題が解決できるようになりました。それが社内から抵抗感を払拭できた理由です。
たとえば 100 サイトをエンジニアが手作業で検査しようとしたら途方もない時間がかかります。それが AeyeScan を活用すれば 1~2 ヶ月の期間で検査を終えることができます。ラックのノウハウにAeyeScanをプラスして、お客様ごとに必要なセキュリティ対策を提案できるようになりました。また、実際にお客様から感謝の言葉を何度もいただけて「AI 活用も悪いものではないな」と社内で実感していきました。
昨今では国内だけでなくグローバルにサプライチェーンでビジネスがつながっています。そんな組織のセキュリティレビューでは、100 を超える大規模なWeb サイトを検査しなくてはいけません。そのようなお客様の課題を解決できることは、セキュリティ企業として我々が担う社会的役割も果たせていると考えています。
── ありがとうございました
--
「関わったことが幸運」などという言葉が飛び出す取材はそうそうあるものではない。誰もがそんな仕事に携わりたいと日々思いながら果たされず、ただ年月が過ぎていくばかりである。
原稿の構成上、斎藤氏の発言が多くなったものの、本取材は、ラックの斎藤氏とエーアイセキュリティラボの関根氏という、異なる背景を持つ二人がたどった冒険を描く「バディムービー(「リーサル・ウェポン」「テルマ&ルイーズ」「ズートピア」のような、対照的な二人の人物の衝突と理解のプロセスを描く映画ジャンル)」を想像させるスリリングなものだった。
しかし、もともとの AeyeScan 開発の目標を考えるとき、実はそれは何も不思議なことではなかった。
関根氏は、2023 年 3 月に本誌が配信した対談記事の中で、AeyeScan の開発目的として「DX によって Web アプリの開発サイクルが高速化していることに追いつく」ということ以外に、「診断企業の慢性的な人手不足の解消」そして何より「診断技術者が、疲弊する原因となるルーティン作業を機械に任せることで、エンジニアの人間にしかできないクリエイティブ作業に専心できる時間を増やしたい」ことを挙げている。
「人によってはその作業ばかりになって気持ちが沈んでしまうこともあるんですね。ですので、そういう作業は機械に任せ、人間には人間にしかできないことをやってほしいな、という思いでこのツールを開発しています(関根氏)」
最初こそ、水と油のように見えたかもしれないが、実は同じゴールを目指していたことに両者はすぐに気づいたことだろう。
最後に付け加えておくと、ラックは AeyeScan をスキャンエンジンとして採用し活用しているだけではなく、AeyeScan の販売パートナーにも名を連ねている。まさに売りたくなるほど惚れ込んだということでもあろうし、ラックを通じて AeyeScan を導入することには充分すぎるメリットが存在することは間違いないだろう。
