毎年同じ年中行事化した診断から、予算を効果的に配分する濃淡をつけた診断へ ～ AeyeScan「診断マネジメントプラットフォーム」

　株式会社エーアイセキュリティラボの提供する脆弱性診断自動化ツール「AeyeScan」は、AI と RPA を活用することで、既存の脆弱性検知ツールと比較して、診断の玄人（くろうと）ですら「マジか！！」と衝撃を受けるほどのクオリティで診断の自動化を達成した。

　AeyeScan は全てのビジネスがデジタル化する DX 時代、そして DevSecOps 時代のユーザー企業の需要にマッチした。やがてユーザー企業の「脆弱性診断内製化の強力なエンジン」として機能するようになっていく。

　4 月に同社は「診断マネジメントプラットフォーム」を発表した。これを活用すれば、単に見つかった脆弱性ひとつひとつへの集中と対処だけでなく、複数のサイトや Web アプリの一括管理、診断の進捗や脆弱性対処状況の把握、診断頻度や深さの調整や予算配分等、より俯瞰的 経営的視点で診断の全体最適化を行うことができるようになるという。

　思えば AeyeScan には主にプロ向けのツールとして歩いていく道もあったと思う。なにしろ LAC の診断員が激賞しているくらいなのだから日本に数多（あまた）ある診断会社や開発会社に納品すれば、十分ベンチャーとして成功したはずだ。

　もちろん診断のプロへの展開は行ってはいたものの当初から AeyeScan は、ユーザー企業を助けることに比重を置きビジネス展開した。これを本誌は、それまで外部業者に丸投げすることが慣習となっていた脆弱性診断を、ユーザー企業が内製化することで、診断の民主化を進めていたと捉える。実は真に新しいのは AI 技術ではなくこのビジョンだったのではとすら思う。

　4 月 18 日エーアイセキュリティラボは AeyeScan のオプション機能として「診断マネジメントプラットフォーム」を提供すると発表した。このリリースで彼らの目指す道がより明確になった。

　エーアイセキュリティラボの人は怒らないで読んで欲しいが「プラットフォーム」などと大仰なことを言ったところで、要はただのプロジェクト管理のグループウェアに過ぎず、AeyeScan とは異なり飛躍的なイノベーションがあるわけでもなし、わざわざプレスリリースまで出す必要は必ずしもあるまい。このプレスリリースは決意表明なのである。どんな決意か。

　「AeyeScan」を、それまでとは違って好きなときに好きなところへ移動できるようにする「クルマ」にたとえるなら、「診断マネジメントプラットフォーム」は、クルマが移動する「道路」であり「ハイウェイ」と言うことができるかもしれない。その道路の行く先はどこだろう。

　株式会社エーアイセキュリティラボ 代表取締役社長 青木 歩はその行く先を「Web アプリに脆弱性のない世界」「“うちの会社のセキュリティは大丈夫”とセキュリティ担当者が経営層に自信を持って言い切れる世界」、そして「現在業務に見合った評価を受けていないユーザー企業のセキュリティ担当者が地位向上を果たす世界」と表現した。

　2024 年 4 月 25 日、東京ビッグサイトで開催された JAPAN IT Week 春 情報セキュリティ EXPO で青木が行った講演「経営層も“納得できる”セキュリティ対策～脆弱性診断の ROI を最適化するポイントは楽をすること」の要旨をここにレポートする。

--

　講演の冒頭で青木は、情報システム部門やセキュリティ担当者が、経営層からよく聞かれる質問として「うちのセキュリティは大丈夫か？」という問いを挙げ、この質問はセキュリティ担当者が自身に対して発する問いでもあると語った。

　そうした背景のもとで、近年 CSIRT といったセキュリティ組織が企業内に設立されているが、抱える課題が大きく三つあるという。

● CSIRT 等 セキュリティ組織が直面する三つの課題

　一つめの課題は「迅速な意思決定プロセスの確立」、セキュリティ部門は広い視野で横断的に物事を見て、現場で起こる様々な事故を経営層に適切に報告し、経営層や警察、関係諸機関の指示を仰ぐことが求められるが、多くの組織にとってこのプロセスはハードルになっている。

　二つめの課題は「セキュリティ組織の要員確保」である。報道等によれば 10 万人規模のセキュリティ専門家が不足しているとされており、そもそも採用が困難であるばかりか、多くの企業にとって育成も容易ではない。

　三つめの課題は「組織をまたがる情報の把握」である。セキュリティ組織の多くは、企業横断型の情報収集や対策実施が必要なのにも関わらず、システム部門や総務部門に組み込まれることが一般的であり、さらにＭ＆Ａなどが加速する中で、ステークホルダー全体の情報把握を進めることが困難になっていると指摘した。

⚫︎「はじまりの問い」に答を出せているのか？

　エーアイセキュリティラボは AeyeScan を開発することで、脆弱性検知プロセスの自動化と大幅な時間短縮を実現はしたものの、経営層あるいは管理者自身の最初の問い「うちのセキュリティは大丈夫か？」に対しては、これまで提供してきたサービスや方法ではまだ十分な答えを出せておらず、より包括的なアプローチが必要であると感じるようになったと青木は語った。

　ちょっとここで青木の講演の録音 MP3 データの再生をストップして考えてみた。

　そもそもセキュリティ企業の講演というのは、言わずもがなの正論と、セールスピッチ以外出口のないポジショントークで塗りに塗り固めて行う暑苦しい話芸である（悪いということではなく短時間で明快にまとめるための方法論でもある）。だから、自社が提供してきたサービスが結果的には、ユーザーが求めるニーズの芯を喰っていなかったという不利な事実を、ほぼ満席で少なくとも 100 名強は受講者がいた講演で、堂々と認めた青木の発言及び行動は、これまで無さそうでホントに無かった、かなり珍しいものである。

　自社の Web サイトやアプリの診断に関して、どのような予算のもとどのような計画が立てられ、どこまでそれが進んで、何が未着手で、次に何をするべきか、これらがわかりにくい状況を解消する管理ツールこそ AeyeScan のオプション機能「診断マネジメントプラットフォーム」である。言い替えれば「見てのとおり我が社のセキュリティは大丈夫です」と言い切るための環境であり方法である。

●毎年同じ内容で診断をくり返してはいないか

　青木は、脆弱性診断において最も重要なことは「ＰＤＣＡサイクル」の特に「Ａ（対策と改善）」を通じて改善を進めることであるにも関わらず、一個一個の脆弱性への対応に集中しすぎたり、Ｍ＆Ａなどの事業環境の変化で複数の保護対象の把握が難しくなっている結果、つい「前年と同じ診断を翌年も繰り返す」企業が多いと語った。

　そもそも監督官庁が存在する金融のような規制業界でもない限り、セキュリティ対策にも診断にも強制力のあるレギュレーションなど存在しないから、ほとんどの企業が無計画かつフリーハンドで差配せざるを得ない。しかし把握ができていないために、新しい打ち手の検討もままならず、その結果四半期や年一等の一定頻度で同じ診断を同じ予算で何度もくり返してしまう。やらないよりはもちろんいいがもっとお金を大切に使えるのでは、ということだ。

　適切に診断対象と診断計画等の把握ができていれば、たとえば同じ機能を持つサイトでも、重要情報取り扱いの有無などで、診断の頻度や深さ網羅性などを対象によって変化させる、つまり「濃淡をつけたセキュリティ診断」が可能になると青木は語った。

　「限られているセキュリティ予算を必要なところに投資していく。全社で情報を共有して計画を見直し、改善に繋げていくことによって経営が回っていく。そうしない限り脆弱性診断は、せっかくやっている価値に対して評価が合わないみたいな話が出てきてしまう。やっぱり我々のやっている仕事の価値を上げていきたい（青木）」

●「叱責すれば隠れる」経営者向け留意事項

　青木は講演の中で、「診断マネジメントプラットフォーム」のような仕組を通じて、経営層がセキュリティの現場に関わる際に、特定のシステムやアプリケーションの評価が悪い際に、それを責めるような対応をしないこと、責めることは脆弱性を隠すことに容易につながること、見つかった課題は対処すればいいだけと考えるべき、とわざわざ付け加えた。

--

　セキュリティ企業の講演においては、登壇者が自らを情報システム部門やセキュリティ担当者の「味方」であると語ることはデフォルトの態度となっている。しかし本誌読者の多くは、セキュリティ部門の味方の顔をして、時間短縮なり業務効率化が図られた結果、ほとんどの場合、それによって浮いた時間には、ただただ新しい業務が過剰に割り当てられ、時として人員削減もなされるという未来をなつかしく思い出すことと思う。

　奴らは表では「セキュリティ部門の味方」とうそぶいて、その裏では、何もわかっていないどころか IT やデジタル技術を単に自分が理解できないからという理由だけでバカにしてさえいる経営陣と固い握手をかわしているのである。だから「診断マネジメントプラットフォーム」などというものを入れてもひとつのトクもない。そのあなたの判断は正しいかもしれない。

　そんなときは青木の「“我々”のやっている仕事の価値を上げていきたい」という言葉に注目したい。

　通常セキュリティ企業の講演では、来場者である情報システム部門やセキュリティ担当者に対しては「情シスさん」とか「ご担当者さま」といった吐き気を催すおためごかしの呼称が飛び交うものだ。だからユーザー企業の担当者を含めて青木が「我々」と言っていたことは、この講演でとりわけ印象に残った。こんなセリフを不用意にただノルマを達成したいだけの営業が口にしたりしたら、殴りたくなるくらいの猛烈な違和感が漂うことは間違いない。

　情報セキュリティ EXPO の株式会社エーアイセキュリティラボのブースでの取材によれば「診断マネジメントプラットフォーム」は AeyeScan のユーザー企業からの要望によって開発がスタートしたという。はじまりからしてケチなユーザーロックインの道具などではなかった。

　本誌取材によれば AeyeScan は定期的にユーザーの不満や要望をヒアリングする場を設けており、大口ユーザーの場合その頻度は週一回にもおよぶという。そしてその要望をこれも週一頻度（毎週金曜日）で次々に機能追加していく。AeyeScan はユーザーが育ててきたしいつも前の週よりもあたらしい。

　だから同様に「診断マネジメントプラットフォーム」も、ユーザーの希望と期待の声を集めて成長をつづけていけば、担当者を追い詰める道具になることなどないだろうし、それどころか経営層と対等に話をするパワードスーツにも、単なるツールを超えたコミュニティにも、会社を支える仕組にすらなる可能性を秘めているように思う。

　要はソフトウェアとは、誰が作るのかが、そしてユーザーとどういうコミュニケーションを行うのかが大事なのだ。最後にエーアイセキュリティラボにおかれては是非やるべきと信じることを最後までやりきって欲しい。