Webアプリケーションの脆弱性診断というと、簡易的なツールで基本的なスキャンをざっと回すか、あるいは高度なスキルを持つアナリストに相応のコストを支払って依頼するかの二択しか存在せず、「ちょうどいい」レベルの診断を求める企業にとっては、なかなかピッタリくる選択肢がないのが実情だった。
そんな状況において、新たな選択肢を示そうとしているのが、NTTデータ先端技術の「INTELLILINK Webアプリケーションマネージド診断サービス」だ。AI技術を活用したエーアイセキュリティラボの自動脆弱性診断ツール「AeyeScan」を活用し、低コストでスピーディな診断を、適切なタイミングで実施できるようにするマネージドサービスだ。
このサービスはどのような背景から生まれ、なぜ AeyeScan が活用されているのか、その背景を、NTTデータ先端技術 サイバーセキュリティ事業本部 セキュリティイノベーション事業部 セキュリティコンサルティング担当 統括部長、山下 昌弘 氏に、エーアイセキュリティラボの 関根 鉄平 氏が聞いた。
●「診断をもっと安価に、もっと迅速に」といったニーズの広がりに対応
関根:NTTデータ先端技術が提供する「INTELLILINK Webアプリケーション診断サービス」の特徴を教えて下さい。
山下:一言で言うと「しっかり丁寧な診断をすること」になるでしょう。商用の診断ツールや独自に開発したツールを組み合わせ、アクセス制御周りも含め、抜け漏れなく網羅的な診断をすることが特徴で、数え方にもよりますが、年間で約 600 件の診断サービスを行っています。
関根:長年にわたってセキュリティ診断サービスを提供されてきましたが、ニーズに何か変化は見られますか?
山下:グループ企業である NTTデータだけでなく、より幅広いお客様からも診断のご要望をいただくようになってきました。ただその際には「そこまで品質が高くなくてもいいので、できる範囲でもっと安価に診断してほしい」「もっと迅速に診断をしてほしい」といったニーズが出てきています。また、首都圏だけでなく関西や地方からもご要望が増えていますが、その場合、価格帯がどうしても変わってくる部分もあります。
関根:育成しているとはいえ、診断を実施するエンジニアの数も十分とはいえませんよね。
山下:そうですね。診断依頼件数は年々増加しているため、案件が集中するとご希望のタイミングで実施できなかったり、本当は 100 画面分の検査を実施したくても予算の制約で 20 ~ 30 画面に絞って診断を実施するケースも少なくありません。なかなかニーズに応え切るのが難しい状況になってきました。これまでの診断サービスも展開しつつ、もうちょっと簡易で廉価な診断サービスを展開する必要が生まれてきたと判断し、検討を開始しました。
●AI がもたらす可能性に期待を感じ「AeyeScan」を検証
関根:AeyeScan をどのようなきっかけで知ったのでしょうか?
山下:3 年ほど前になると思います。新たなサービスに合う面白いツールを探していたところ、以前から知り合いだった方から、ちょうど「新しい会社を立ち上げた」という話を聞き、それがエーアイセキュリティラボさまでした。特に興味を惹かれたのは AI を使っている点です。自分自身、この先診断は自動化されていくのではないかと考えていたこともあり、これまでとはちょっと異なることができる可能性を感じ、話を聞いてみることにしました。
関根:AI を使った診断では、人間が行う場合に比べて抜け漏れが出るのではないかといったネガティブなイメージはありませんでしたか?
山下:そこはあまり心配していませんでした。なぜなら、AeyeScan の診断自体は、これまでの診断ツールと基本的に同じロジックで動いているからです。AI を使うのは、いわゆる画面遷移の部分なので、検出の精度に関してはこれまでと変わらないと言う認識を持っていました。
関根:画面遷移はこれまで、手動でやるしかなかったんですよね。
山下:これまでのやり方では、人が手でぽちぽちクリックしていくしかありませんでしたし、表示された A という画面と B という画面が同じものなのかどうかの判断も人間が下さなければなりませんでした。そこを全て AI がオートメーションでやってくれるのは非常に効率的で、時間の短縮にもつながるだろうなと思いました。
関根:そこで検証を行っていただいたわけですが、どういったところを重点的にご覧になりましたか?
山下:診断エンジンのところはこれまでと変わらないため、検出率などで特に不具合はありませんでした。ただ、診断すべき画面をきちんと全て選択できるか、逆に触れてはいけない画面を勝手にクロールしないかといった部分の確認には、結構時間をかけました。
関根:NTTデータ先端技術さんのサービスは、お客様の要望を細かく伺ってカスタマイズするところに強みがあります。ですので、PoC を実施していただいた際には、AeyeScan に対し「あれがない、これがない」とご指摘をたくさんいただくだろうと覚悟していましたが、そうでなくてほっとしました。御社は初めから自分たちが何をやりたいかを明確にしており、そこに AeyeScan が提供するものがフィットしたと思っています。
山下:これまでとは考え方やサービスの流れ、アプローチが全く違うものだと思っています。
例えば、100 画面あったらその中から 30 画面を抜き出して、深く見ていくのが従来の診断だとすれば、AeyeScan では、ほぼ 100 画面に近い画面の診断を手軽に、短時間で行います。深さの網羅と広さの網羅と表現できるかもしれません。新サービスでは、完璧を期するのではなく、「これだけの画面に対する診断を、これだけの時間で実施できる」点を重視していました。
また、通常であれば、設計書に従ってどのような診断を行うかをしっかり決め、そこに対して診断を実施していきます。これに対し AeyeScan を使った場合は、まず先にクローリングさせてから、「この画面は診断対象にしますか、どうですか」と対象範囲を決めていく形です。手順からして異なるんですね。
おそらく、お客様のニーズや期待も異なってくると思います。「絶対にリリース時に脆弱性が残っていてはならない」と言う考え方ではなく、「年に一回といった頻度で問題がないかどうかをチェックしたい」と言うニーズに AeyeScan は合っていると思います。
関根:検証の感触はいかがでしたか?
山下:「思ったよりもちゃんと回るな、AI がクロールしてくれるな」と言う印象を持ちました。しかも、我々の通常のサービスに比べ、本当に何分の一かの時間で診断ができてしまうところも利点だと感じました。さらに、例えば夜に回るようセットし、朝出社してくると終わっているという具合に、人が介在しなくても無人で回すやり方もできるので、これまでやったことのないようなやり方もできると感じました。
関根:そこは AI の良さですよね。
山下:もう一つ、診断員の養成という観点でもメリットがあると思いました。以前はセキュリティ診断員を育てようとすると、一年くらいかけて一つずつ覚えさせていく必要がありましたが、AeyeScan は、操作方法さえわかればすぐにできる手軽さがあります。
関根:職人芸だった診断を民主化し、もう少し手軽に使えるというイメージですね。
●Web診断に、「ちょうどいいサービス」という新たな選択肢を追加
関根:現在、「INTELLILINK Webアプリケーションマネージド診断サービス」の中でどのように AeyeScan が活用されていますか。
山下:アジャイル開発などでどんどん開発が進む中、定期的に診断をしたいというニーズは高まっていますが、実際にはコスト的にも時間的にも容易ではありません。もっと気軽にスキャンを回せる仕組みが必要ということで、このマネージドサービスを提供しています。ある一定水準のレベルの診断を、年に複数回行えることが特徴で、しかもコスト的にもメリットがあります。手軽に診断が行える「ちょうどいい」サービスが実現できたのは、AeyeScan を使ったからだと思っています。
関根:市場からの反響は何かありましたか。
山下:本格的に展開していくのはこれからですが、従来の診断サービスに加え、ライトなサービスとして AeyeScan を活用することで、なかなかハードルが高くてこれまでの通常の診断を受けられなかったお客様からポジティブなコメントをいただけると期待しています。我々としても、新しいマーケットに展開できるということで非常に期待しています。
関根:一方で、セキュリティ診断内製化のニーズもありますよね。
山下:おっしゃる通り「セキュリティ診断を自分たちでやろう」という要望も高まっていますが、いざ自分たちで診断をやってみると、出てきた脆弱性をどう判断すべきかで迷われたり、どこまでを診断対象として検査を実施すべきか、といったところで悩まれたりするケースが多くあります。そこを肩代わりしていくのがこのマネージドサービスです。
自分たちで診断を実施できる会社であれば、AeyeScan を導入してやっていくのもありだと思いますが、お客様の中に必ずしもセキュリティ専門家がいるとは限りません。自分たちでやり切るのはちょっと難しいと感じているお客様に、セキュリティの専門家がマネージドの形で診断を実施することが、お客様にとって安心できる材料になると思っています。「プラス・セキュリティ」と言ってもいいと思います。また、もっと深く診断を実施したいご要望があれば、これまでの診断にシフトしていただくという形で、棲み分けていければと思います。
関根:自社での診断内製化と専門家による診断サービス受診と悩まれているお客様がいたら、うまく使い分けていただけるようご支援していきたいです。今後、AeyeScan を導入して内製化を目指すお客様に向けて、一連の検証、導入において、お役に立てた当社の支援やサポートがもしあれば教えてください。
山下:サポートで一つ言えるのは、やはり日本に拠点があり、何か問題があったらすぐにお話しできる体制があるという安心感が大きいですね。この手のツールでは、国内産があまりない。海外製品は日本からの要望にすぐ対応してくれないのが常なのですが、日本のベンダーで、すぐにものを言える関係があるという意味で非常に安心です。
●AI ができる範囲を見極めつつ、人間がやるべき範囲の模索も
関根:INTELLILINK Webアプリケーションマネージド診断サービスの今後の展開について伺えますか?
山下:これまで、セキュリティ診断をやりたくても価格などの面でなかなか合わなかった市場、例えば中堅・中小企業や地方のお客様にお届けしていきたいと思います。また、これまでのお客様の中にも「もう少しライトな診断でいい」というサイトがあるので、そういったところに、既存のサービスと使い分ける形で提供していければと思います。また、先日エーアイセキュリティラボさんと一緒にリリースを出しましたが、APAC地域でも AeyeScan を使ったサービスを展開したいと考えています。
関根:日本品質の診断を広げていけるといいですね。
山下:個人的にも、日本のセキュリティ診断の良さを海外に持っていきたいな、という思いがあります。よく、「日本人は丁寧でしっかりやる」と言われますが、セキュリティ診断はそのイメージ通りで、世界でも通用できるレベルにあると思います。APAC に開発部隊を置いている企業も多いので、そこに「INTELLILINK Webアプリケーションマネージド診断サービス」を提供して品質を上げてもらい、世界に納品していくという流れもあると思っています。日本特有の丁寧できめ細かい配慮の効いたツールだと思っており、非常に可能性を感じています。
関根:昔は、海外のセキュリティ診断は「ボタンを押してはい終わり」というやり方が多かったのですが、最近では、海外でセキュリティ診断をやっている人たちも「それだけじゃ不十分だよね」という認識を持つようになっています。一方で、手でやっていくのにも限界がありますから、AeyeScan を用いた日本の診断の良さがヒットするのではないかという感触はあります。
山下:AI を使っていることもあり、この先、さまざまな応用が効くのではないかと期待しています。AeyeScan は DAST(Dynamic Application Security Testing)の一種ですが、例えば、それ以外の SAST(Static Application Security Testing)と呼ばれるソースコードスキャナなどにもこの AI の知識を生かしてもらうことで、脆弱性を指摘するだけでなく「こう修正すべき」とアシストするといった具合に、可能性がさらに広がるのではないかと期待しています。
関根:われわれも精力的に R&D を進め、どんどん開発していきたいと考えています。
山下:先日、これまでの診断ツールでは実現できなかった、アクセス制御周りの診断ができる機能もリリースしましたよね。これも AI を使っているからこそだと思います。実は、アクセス制御関連の診断は我々が得意としてきたところなのですが、これまで人手でやっていた部分がこのようにツールでできるようになっていけば、応用がさらに広がるなと思っています。
今後は、AeyeScan というツールのカバレッジがどうなっていくかを見定めつつ、僕らはどういった領域に力をかけていくのか、例えば脆弱性ハンドリングなどにシフトしていくのか、と言った具合に、次にやるべきところを見ていく必要があるかなと思います。
とはいえ、どうしても人間がやらなければいけない部分は残っていくでしょう。特に、業務系アプリケーションの診断はまだツールが苦手で、人間がやらなければいけない部分が多くあります。一方で、ECサイトや会員系のサイトなどは AeyeScan が得意なので、そこをうまく使い分けていくことが求められるでしょうね。その中で、AI をどう使いこなすかの目利きも求められていくと思います。
