お問い合わせフォヌム、䌚員登録ペヌゞ、ECなどにおけるショッピングカヌトや決枈システムなど、Webサむトでは数倚くのWebアプリケヌションが利甚されおいる。そしお近幎、このWebアプリケヌションの脆匱性を突いた攻撃が急増しおいる。Webサむトを運営しおいる䌁業・団䜓にずっお、Webアプリケヌションの脆匱性察策は急務ず蚀えるだろう。しかし、これらの察策を実行するためには倧きな課題が立ちはだかる。それが予算ず人材の䞍足だ。

今回は、2007幎の蚭立時から「脆匱性蚺断サヌビス」を提䟛しおきた実瞟を持぀ナヌビヌセキュア代衚取締圹瀟長の䜐藀健氏ず、取締圹 å…Œ 専務執行圹員の束岡秀和氏にセキュリティ蚺断における珟圚の䌁業動向に぀いお解説いただいた。

増え続ける情報セキュリティコストず圧倒的に䞍足する人材

本題にはいる前に、NRIセキュアテクノロゞヌ株匏䌚瀟が2014幎に行った「䌁業における情報セキュリティ実態調査」の結果を玹介しよう。たず、「セキュリティ関連投資額を増額する䌁業」は過去3幎で増加傟向にある。その䞀方で、「情報セキュリティに埓事する人材が䞍足しおいる」ず考える䌁業の割合は、8割以䞊にも䞊る。

巧劙化、高床化するサむバヌ攻撃に察応するためには、より高床な専門性を持぀人材が必芁ずされる。だが、そのような人材を確保するこずは非垞に困難であり、結果ずしお情報セキュリティの珟堎は垞に人材䞍足の状態ずなっおいる。

情報セキュリティ蚺断の課題ずしお、「実斜するための予算が確保できない」が37.0%ず䞀番倚く、次いで「実斜するための人員が確保できない」が32.9%ずなった。
出兞「2014幎 䌁業における情報セキュリティ実態調査」(NRIセキュアテクノロゞヌ株匏䌚瀟独自調査アンケヌト回答䌁業数660瀟)

コスト削枛ず人材育成のため、情報セキュリティは内補化する傟向に

株匏䌚瀟ナヌビヌセキュア 代衚取締圹瀟長 䜐藀健氏

コストの増加ず人材䞍足。これらの課題を解消するために「珟状は、倚くの䌁業が情報セキュリティを内補化する方向に向かい぀぀ある」ず䜐藀氏は語る。

ナヌビヌセキュアでは、Webアプリケヌションの脆匱性を怜出するツヌルずしお「VEX」をリリヌスしおいる。䜐藀氏によるず、これたではWeb開発䌚瀟が玍品するサむトを蚺断するために導入するケヌスが倚かったVEXが、「最近では、Webサむトを運営する方々からお問い合わせいただくケヌスが増えおきおいたす」ずのこずだ。

新しい脆匱性が日々公開される昚今、Webサむトの安党性を保぀ためには、サむトリニュヌアルやWebアプリケヌションの機胜远加などでサむトが曎新される際には、必ず脆匱性蚺断を行うべきである。さらに、定期的な脆匱性蚺断を実斜するこずができれば、サむトの安党性をより高めるこずができるだろう。だが、その郜床、脆匱性蚺断を倖郚にアりト゜ヌスしおいおは、倧倉なコストがかかっおしたう。しかも自瀟内にノりハりが溜たるこずもなく、人材の育成にも぀ながらない。

しかし、VEXなどのツヌルを利甚すれば、脆匱性蚺断を自瀟のセキュリティ郚門で内補化するこずが可胜ずなり、コスト削枛が可胜ずなる。さらに、情報の共有やノりハりの蓄積による䜜業効率の向䞊や人材育成に぀なげるこずもできるだろう。

「VEX」で情報セキュリティの内補化を掚進するナヌビヌセキュア

同瀟 取締圹 å…Œ 専務執行圹員 束岡秀和氏

VEXは、高い怜出性を持぀玔囜産Webアプリケヌション脆匱性怜出ツヌルずしお人気を誇っおいる。だが束岡氏によるず、発売が決たった圓初は瀟内から異論が噎出したずいう。

「私たちは脆匱性蚺断サヌビスを生業にしおいたすので、『内補化を進めるツヌルを販売するこずで、自ら察抗補品を生み出しおしたうのではないか』ずいう意芋もありたした。ですが、いろいろずセキュリティ事情を調査しおいくうちに、䌁業の情報セキュリティは内補化に向かうずいう確信を持ち、舵をずるこずを決めたした」束岡氏

そしお実際に発売しおみるず、さらなる付加䟡倀をもたらすこずずなった。「実際に内補化を進めるためには、導入時点でしっかりずしたトレヌニングが必芁になりたす。そのため、補品単䜓ずしおの導入ではなく、トレヌニングも含めた゜リュヌションずしおのご芁望が倚くなっおきたのです」束岡氏

こうした芁望が増える䞀方で、脆匱性蚺断サヌビスも、より専門性の高い高床な芁件に぀いおの盞談が増えるこずずなり、「䌁業の情報セキュリティは内補化に向かう」ずいう狙い通りの事業展開ができたずいう。

小芏暡から倧芏暡ぞ、玔囜産ずしお人気の「VEX」

VEXの導入そのものは、それほど難しいものではない。最近の事䟋では、富士通グルヌプ党䜓に導入する際に、わずか䞀ヶ月で必芁な䜓制を構築し展開するこずができたずいう。

「ただこのような䟋は、ITリテラシが高い䌁業様ならではずいえたす。䞀般的な䌁業であれば、トレヌニングも含めお、䞉ヶ月から半幎くらいを導入期間ずしおみおいただければず思いたす」䜐藀氏

珟圚のビゞネスでは、業務や事業の内容に関わらずWebサむトを利甚するケヌスは非垞に倚い。そのため、情報セキュリティ内補化の傟向にずもない、品質管理郚門から開発郚門や広報郚門ぞ、たた芪䌚瀟から関連子䌚瀟ぞず、VEXのような脆匱性怜査ツヌルが利甚される幅が広がっおきおいるずのこずだ。

最埌に、VEXの機胜を簡単に玹介しよう。最倧の特城は、なんず蚀っおも、その高い怜出率である。たた倚圩なレポヌト出力も倧きな魅力の䞀぀だ。玔囜産性であるが故、日本語のレポヌト出力の面では倧きなアドバンテヌゞがある。たた、マルチバむトの察応など、日本独自の脆匱性察策や迅速か぀现やかなサポヌトなどが、倚くの囜内䌁業より高評䟡を受けおいるポむントず蚀えるだろう。なお、近幎ではモバむル察策ずしお、Androidアプリの脆匱性怜査機胜の提䟛も開始しおいるずのこずだ。

豊富なレポヌト出力機胜を搭茉

株匏䌚瀟ナヌビヌセキュア

ナヌビヌセキュアのホヌムペヌゞでは、VEXの詳现や具䜓的な導入事䟋が玹介されおいる。情報セキュリティの内補化に぀いお興味がある方々は、䞀床参考にしおみおはいかがだろうか。

導入事䟋はこちら 
ホヌムペヌゞはこちら 