千葉県の幕張メッセで 6 月に開催されたネットワーク技術の総合展示会「Interop Tokyo 2024 」の注目セキュリティ製品を取材した。
株式会社エーアイセキュリティラボが6月8日から提供を開始した、クラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」に基づく新しいプロダクト「診断マネジメント」を取材した。
このプロダクトは、Webサイトや脆弱性診断の実施状況を一元管理し、診断計画から対策見直しまでを一貫して実行するもので、当面AeyeScan既存顧客向けに提供され、今後は未導入の顧客にも展開予定。
「診断マネジメント」は、脆弱性診断の計画から対策見直しまでのプロセス管理を行うプラットフォームで、PDCAサイクルを意識した設計となっている。具体的には、診断対象Webサイトの棚卸や把握、一元管理、リスク状況に応じた診断計画の策定、診断実施状況や改修進捗の可視化・把握、診断計画の見直しと改善を行う。
さらに、脆弱性診断の管理を強化し、セキュリティ組織の業務効率化を図るため、脆弱性トリアージ機能と生成AIを活用したQA機能の提供を予定している。脆弱性トリアージ機能は、企業規模やフェーズに応じた利用が可能となるようフィードバックを基に強化され、生成AI活用によるQA機能は、脆弱性や診断対応に関する情報を秘匿性を保ちながら共有・活用するためのものである。
--
エーアイセキュリティラボは、AIとRPAを活用した脆弱性診断ツール「AeyeScan」を株式会社ラック、NTTデータ先端技術株式会社などに提供する一方で同プロダクトをユーザー企業にも提供し、各社の診断内製化を支援している。
診断内製化を達成すると必要になるのが「診断マネジメント」のような、同時進行する多数の診断プロジェクトの管理ツールであり、「診断マネジメント」は顧客の要望から生まれたという。つまり年一で診断を業者に丸投げしてやっていた頃はプロジェクトを管理する必要などなかったが、内製化によって診断範囲や頻度が上がってきたことが条件として想定されている。
「範囲や頻度が増えようが上がろうが、そんなもんBacklogやRedmineで十分管理できんじゃね?」「そもそもそんなのExcelでよくね?」と言われればその通りだが、脆弱性診断そのもの及びその組織内実施や運用に長く深い知見を持つエーアイセキュリティラボ社がこれを作るという点に付加価値というか希望がある。
基幹プロダクトの「AeyeScan」は顧客の要望をもとに週一でマイナーアップデートを必ず行い続ける真摯な粘着性がとても高く評価されており、同様の姿勢が維持されて「診断マネジメント」の開発が継続されたならば、半年か一年後あるいは三年後かに、かつて世界のどこにもなかった脆弱性診断プロジェクト特化型の「診断管理プラットフォーム」になっていく可能性があるので期待したい。
![脆弱性「診断」が大好きなニッポンに脆弱性「管理」を提案 ~ tenable one [Interop Tokyo 2024 REPORT]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/45517.jpg)
