脆弱性診断内製化を達成したら必要になるもの ~「診断マネジメント」エーアイセキュリティラボ [Interop Tokyo 2024 REPORT] | ScanNetSecurity
2024.07.25(木)

脆弱性診断内製化を達成したら必要になるもの ~「診断マネジメント」エーアイセキュリティラボ [Interop Tokyo 2024 REPORT]

 診断内製化を達成すると必要になるのがこの「診断マネジメント」のような、同時進行する多数の診断プロジェクトの管理ツールであり、顧客の要望から生まれたという。つまり年一で診断を業者に丸投げしてやっていた頃はプロジェクトを管理する必要などなかったが、内製化によって診断範囲や頻度が上がってきたことが条件として想定されている。

製品・サービス・業界動向
株式会社エーアイセキュリティラボ「診断マネジメント」管理画面:計画全体のレビュー画面
  • 株式会社エーアイセキュリティラボ「診断マネジメント」管理画面:計画全体のレビュー画面
  • 株式会社エーアイセキュリティラボ「診断マネジメント」管理画面:管理サイト一覧
  • 株式会社エーアイセキュリティラボ「診断マネジメント」管理画面:現在進行中のタスク消化状況
  • 株式会社エーアイセキュリティラボ「診断マネジメント」管理画面:各サイトごとの進捗状況
  • 株式会社エーアイセキュリティラボ「診断マネジメント」管理画面:実行済みプロジェクトの当初目的と実施後所感

 千葉県の幕張メッセで 6 月に開催されたネットワーク技術の総合展示会「Interop Tokyo 2024 」の注目セキュリティ製品を取材した。

 株式会社エーアイセキュリティラボが6月8日から提供を開始した、クラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」に基づく新しいプロダクト「診断マネジメント」を取材した。 

 このプロダクトは、Webサイトや脆弱性診断の実施状況を一元管理し、診断計画から対策見直しまでを一貫して実行するもので、当面AeyeScan既存顧客向けに提供され、今後は未導入の顧客にも展開予定。

 「診断マネジメント」は、脆弱性診断の計画から対策見直しまでのプロセス管理を行うプラットフォームで、PDCAサイクルを意識した設計となっている。具体的には、診断対象Webサイトの棚卸や把握、一元管理、リスク状況に応じた診断計画の策定、診断実施状況や改修進捗の可視化・把握、診断計画の見直しと改善を行う。

走っているプロジェクト全体のレビュー画面
管理サイト一覧、上限100件
プロジェクト全体のタスクの消化状況数値に基づいた折れ線グラフ
各サイトごとの進捗状況
実行済みプロジェクトの当初目的と実施後所感

 さらに、脆弱性診断の管理を強化し、セキュリティ組織の業務効率化を図るため、脆弱性トリアージ機能と生成AIを活用したQA機能の提供を予定している。脆弱性トリアージ機能は、企業規模やフェーズに応じた利用が可能となるようフィードバックを基に強化され、生成AI活用によるQA機能は、脆弱性や診断対応に関する情報を秘匿性を保ちながら共有・活用するためのものである。

--

 エーアイセキュリティラボは、AIとRPAを活用した脆弱性診断ツール「AeyeScan」を株式会社ラック、NTTデータ先端技術株式会社などに提供する一方で同プロダクトをユーザー企業にも提供し、各社の診断内製化を支援している。

 診断内製化を達成すると必要になるのが「診断マネジメント」のような、同時進行する多数の診断プロジェクトの管理ツールであり、「診断マネジメント」は顧客の要望から生まれたという。つまり年一で診断を業者に丸投げしてやっていた頃はプロジェクトを管理する必要などなかったが、内製化によって診断範囲や頻度が上がってきたことが条件として想定されている。

 「範囲や頻度が増えようが上がろうが、そんなもんBacklogやRedmineで十分管理できんじゃね?」「そもそもそんなのExcelでよくね?」と言われればその通りだが、脆弱性診断そのもの及びその組織内実施や運用に長く深い知見を持つエーアイセキュリティラボ社がこれを作るという点に付加価値というか希望がある。

 基幹プロダクトの「AeyeScan」は顧客の要望をもとに週一でマイナーアップデートを必ず行い続ける真摯な粘着性がとても高く評価されており、同様の姿勢が維持されて「診断マネジメント」の開発が継続されたならば、半年か一年後あるいは三年後かに、かつて世界のどこにもなかった脆弱性診断プロジェクト特化型の「診断管理プラットフォーム」になっていく可能性があるので期待したい。

《ScanNetSecurity》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. 日本規格協会、ISO / IEC 27002 の改訂を受け「JIS Q 27002:2024」発行

    日本規格協会、ISO / IEC 27002 の改訂を受け「JIS Q 27002:2024」発行

  2. 人を標的とした脅威から守るために ~ KnowBe4 が Egress 買収

    人を標的とした脅威から守るために ~ KnowBe4 が Egress 買収

  3. GMOイエラエ「ホワイト企業認定」最高ランクのプラチナ取得 三回目

    GMOイエラエ「ホワイト企業認定」最高ランクのプラチナ取得 三回目

  4. GMOイエラエ、カルチャーデック公開

  5. 「鉄道版生成 AI」の開発も ~ JR東日本で DX 推進のため生成 AI 活用

  6. 日本プルーフポイント 増田幸美氏「Cybersecurity Woman of the World Edition 2024」にノミネート

  7. 横展開封じ込め、CrowdStrike 提唱の新指標「1 - 10 - 60」ルールとは?

  8. 2 年連続 ITパスポート試験が 1 位、情報セキュリティマネジメント試験も注目ランキングで 2 位に

  9. 賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位

  10. 26,481件の顧客情報を記録したUSBメモリを一時紛失(トランスコスモス)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×