サイボウズ PSIRT、自社開発製品の脆弱性診断に AeyeScan を活用 | ScanNetSecurity
2025.10.03(金)

サイボウズ PSIRT、自社開発製品の脆弱性診断に AeyeScan を活用

 サイボウズ株式会社は5月30日、自動脆弱性診断ツールの導入と効率化の取り組みについて、「Cybozu Inside Out」で発表した。PSIRTの田口氏が執筆している。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
AeyeScan周りの環境
AeyeScan周りの環境 全 1 枚 拡大写真

 サイボウズ株式会社は5月30日、自動脆弱性診断ツールの導入と効率化の取り組みについて、「Cybozu Inside Out」で発表した。PSIRTの田口氏が執筆している。

 同記事では、自動脆弱性診断ツール「AeyeScan」の導入と活用するための取り組みで、サイボウズの脆弱性診断がどのように変わったかを紹介している。

 同社では、同社が開発・提供する各製品に対し、PSIRTのテスターが製品ごとの特性に応じた脆弱性診断を内製で実施する他、外部ベンダーによる脆弱性診断や脆弱性報奨金制度(バグバウンティ)も活用し、多角的な検出体制を構築している。

 PSIRTではこれまで、Burp SuiteのIntruderなど一部の補助機能は使うものの診断の大部分は手動で実施していたが、複数の製品が並行して開発され、各製品に割けるテスターの人数や診断スケジュールに限りがある中で、 すべての項目を毎回手動で診断することが大きな負担となっていたため、ツール導入の検討を行っている。

 PSIRTではツール選定にあたり、複数の製品でトライアルを実施し、比較検討のうえでエーアイセキュリティラボの「AeyeScan」の導入を決定しており、決定要因として下記を挙げている。

・設定の手間が少なく容易にスキャンを実行できる手軽さ
・スキャン単位が細かく指定でき、柔軟な運用が可能
・APIが充実しており、同社業務基盤であるkintoneと連携がしやすい
・ドキュメントが充実している

 PSIRTではAeyeScanの導入に際し、ツールそのものの活用だけでなく、その運用を支える周辺の仕組みも含めて効率化・自動化を進め、スキャン実行から結果の確認までを可能な限りスムーズに行えるような仕組みを整備している。

 整備された仕組みでは、テスターがAeyeScanでスキャンを実行すると、AWS上に構築した中間サーバがWebhookをトリガーとしてAeyeScanから結果を取得し、自動でkintoneアプリへ登録され、日常的に利用しているkintone上で通知を受け取り、診断結果を一元的に確認・管理することが可能となっている。 検出結果の確認やトリアージ(対応の要否判断)もすべてkintone上で完結できるように整備しており、結果の参照や他データとの連携もスムーズに行える。また、スキャン実行時に診断環境が最新の開発バージョンに更新されておらず手間となるケースがあったため、診断環境のバージョンを自動更新する仕組みも併せて構築した。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

    パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

ランキングをもっと見る
PageTop