サイボウズ PSIRT、自社開発製品の脆弱性診断に AeyeScan を活用 | ScanNetSecurity
2025.10.24(金)

サイボウズ PSIRT、自社開発製品の脆弱性診断に AeyeScan を活用

 サイボウズ株式会社は5月30日、自動脆弱性診断ツールの導入と効率化の取り組みについて、「Cybozu Inside Out」で発表した。PSIRTの田口氏が執筆している。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
AeyeScan周りの環境
AeyeScan周りの環境 全 1 枚 拡大写真

 サイボウズ株式会社は5月30日、自動脆弱性診断ツールの導入と効率化の取り組みについて、「Cybozu Inside Out」で発表した。PSIRTの田口氏が執筆している。

 同記事では、自動脆弱性診断ツール「AeyeScan」の導入と活用するための取り組みで、サイボウズの脆弱性診断がどのように変わったかを紹介している。

 同社では、同社が開発・提供する各製品に対し、PSIRTのテスターが製品ごとの特性に応じた脆弱性診断を内製で実施する他、外部ベンダーによる脆弱性診断や脆弱性報奨金制度(バグバウンティ)も活用し、多角的な検出体制を構築している。

 PSIRTではこれまで、Burp SuiteのIntruderなど一部の補助機能は使うものの診断の大部分は手動で実施していたが、複数の製品が並行して開発され、各製品に割けるテスターの人数や診断スケジュールに限りがある中で、 すべての項目を毎回手動で診断することが大きな負担となっていたため、ツール導入の検討を行っている。

 PSIRTではツール選定にあたり、複数の製品でトライアルを実施し、比較検討のうえでエーアイセキュリティラボの「AeyeScan」の導入を決定しており、決定要因として下記を挙げている。

・設定の手間が少なく容易にスキャンを実行できる手軽さ
・スキャン単位が細かく指定でき、柔軟な運用が可能
・APIが充実しており、同社業務基盤であるkintoneと連携がしやすい
・ドキュメントが充実している

 PSIRTではAeyeScanの導入に際し、ツールそのものの活用だけでなく、その運用を支える周辺の仕組みも含めて効率化・自動化を進め、スキャン実行から結果の確認までを可能な限りスムーズに行えるような仕組みを整備している。

 整備された仕組みでは、テスターがAeyeScanでスキャンを実行すると、AWS上に構築した中間サーバがWebhookをトリガーとしてAeyeScanから結果を取得し、自動でkintoneアプリへ登録され、日常的に利用しているkintone上で通知を受け取り、診断結果を一元的に確認・管理することが可能となっている。 検出結果の確認やトリアージ(対応の要否判断)もすべてkintone上で完結できるように整備しており、結果の参照や他データとの連携もスムーズに行える。また、スキャン実行時に診断環境が最新の開発バージョンに更新されておらず手間となるケースがあったため、診断環境のバージョンを自動更新する仕組みも併せて構築した。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. 「ランサムウェア被害ゼロ」電算システムが語る ChromeOS のセキュリティ設計とコスト優位性

    「ランサムウェア被害ゼロ」電算システムが語る ChromeOS のセキュリティ設計とコスト優位性PR

  5. 刑事告訴検討 ~ ヤマト運輸の元従業員が取引先企業に関する情報の一部を不正に持ち出し 2 社に流出

    刑事告訴検討 ~ ヤマト運輸の元従業員が取引先企業に関する情報の一部を不正に持ち出し 2 社に流出

ランキングをもっと見る
PageTop