こんにちは、PR・広報のツユです。
今回は7月に行ったダイワボウ情報システム株式会社（以下、DISさん）のエンジニアとセキュアスカイの脆弱性診断チームとの情報交換会について紹介します。
本記事を通して、セキュアスカイの脆弱性診断への取り組みや意識をお伝えできると幸いです。

 

背景

情報交換会は、以前よりお世話になっているダイワボウ情報システム株式会社の情報システム部門の内田様から「若手の脆弱性診断への知見を深めたい」とのご相談を受けて、今回初めて開催されました。

DISさんはセキュアスカイの脆弱性診断のユーザーであり、販売パートナーでもあります。そのため、ただセキュアスカイの脆弱性診断について知っていただくだけでなく、診断実施する側と診断を受ける側の双方の立場で気兼ねなく質問や意見交換もできるように、クローズドな場での情報交換会となりました。

また、情報交換会のあとの懇親会には、DISさんからはセキュアスカイの脆弱性診断を受けているサービスに携わるエンジニア6名。セキュアスカイからは脆弱性診断業務に携わっているエンジニア3名と診断のスケジュール調整や連絡窓口となっているプロジェクト推進チームから3名、その他の部署から４名の参加となりました。

 

セッション

今回は、事前にDISさんの知りたい内容についてヒアリングを行った上で、以下の観点でセキュアスカイの脆弱性診断エンジニアによる３つのセッションを実施しました。

• 検出される脆弱性の種類や対処法についてのフィードバック
• AIを活用した診断ツールの検証結果
• セキュアスカイの脆弱性診断サービスについての理解促進
  • 脆弱性診断とは実際にどのような事をしているのか
  • どのような点に注意・着目しながら実施されているのか

セッションの内容を簡単にご紹介します。

セッション１：診断を行ってのフィードバック

DISさんから脆弱性診断のご依頼をいただいているサービスの診断結果のフィードバックと検出された脆弱性についてのセッションです。
過去数年にわたって実施した診断結果から、サイトの特性や検出されやすい脆弱性の傾向とその詳細、および対策方法について解説しました。

 

セッション2：とあるAIを活用した脆弱性診断ツールの導入を見送った話

セキュアスカイでは、国内自社開発のツールを専任が日々管理・更新しており、安定した診断品質を確保しています。加えて、外部ツールの検証や導入も随時検討し、必要に応じて併用することがあります。

その一環として、過去に導入を検討した、AIを活用しているWebアプリケーション脆弱性診断ツールの検証結果と、当時どのような観点から導入を見送ったのかについて解説しました。（数年前の話なので、現在では精度が向上し、検証結果・結論が大きく変わる可能性がある事を申し上げておきます。また、検証対象となったツールは、当時ご依頼をいただいていた診断案件での利用はしていません。）

簡単に内容を紹介すると、特定の機能の品質は高かったものの検証当時は精度・機能・操作性の観点からセキュアスカイの用途にはマッチせず、工数削減に寄与することも期待できなかったため、導入を見送ったという内容になります。

 

セッション3：Webサイトを取り巻く脆弱性の傾向とセキュアスカイの脆弱性診断について

最後に、これまでセキュアスカイで実施してきた診断の実績をもとに、サイトの種類ごとに検出されやすい脆弱性と対策方法の解説をしました。

また、セキュアスカイの脆弱性診断における自動診断に用いられている自社開発ツールとその品質維持・向上のための取り組み、ツール診断と併せて実施している手動診断において診断員はどのような視点から診断しているのかについても触れました。

 

情報交換会・懇親会を経て

今回ご参加いただいたDISの皆様よりご感想をいただきました。

Q.脆弱性診断への理解は深まりましたか？

• 弊社サービスの脆弱性診断の診断結果や類似サービスサイトから検出されやすい脆弱性について、理解が深まった。
• 上位権限取得の攻撃などの方が業界としては多いということで、今後のアプリ改修などでも意識すべきポイントとして為になった。

Q.脆弱性診断について、これまでどのような印象・認識でしたか

• 診断はほとんどが自動で行われており、画面遷移図も自動生成されたものだと認識していた。また、手動での診断はほとんど行われていないと思っていた。
• 「ホワイトハッカーによる、Webサイトの水漏れ調査」のような印象を持っていて、診断対象のECサイトなどは基本的に大規模なため、ツールによる自動での総当たりでの診断をしているという認識だった。

Q.脆弱性診断への印象・認識は変わりましたか？

• あるパターンに沿って診断ツール系で自動化されているのかなという認識があったがまるでオーダーメイドのスーツを作るかのように設計されていて技術力の高さを感じた。また、だれが脆弱性診断をするのかが一番大事だなと思った。
• 診断を実施した際に提供されていた「画面遷移図」が手作業であることや、具体的にどのようにして診断していただいているのかを知ることができ脆弱性診断の重要性を改めて認識した。
• 自動診断だけでは対応が難しい部分が多く、手動での診断が必要であることを知り、印象が大きく変わった。

また、今回の交流会を通して、
「セキュアスカイの技術力・専門性も改めて実感した」
「これまでに依頼した案件も細かく調査してもらっていたことが理解できた」
「関係者の人柄や会社の雰囲気の良さを感じられた」

「親身になって対応いただいているのがわかり、信頼感が深まった」
といったご感想もいただきました。

 

さいごに

今回の情報交換会は、脆弱性診断をご利用いただいているお客様としても販売パートナーとしても、濃く情報を交換できる場となりました。

ユーザーがどのようなことを気にしているのか、脆弱性診断に対してどのような印象を持っているのかなど、普段あまり直接的に伺う機会のない話を聞くこともでき、サービスを提供する立場としても大変有意義な時間となりました。

セキュアスカイの脆弱性診断やメンバーを知っていただくことで、より良い関係性の構築につながったのではないかと思います。
今回は情報交換会のご提案・ご参加、誠にありがとうございました。