あるプラットフォーマーのセキュリティ体制構築のキーパーソンとなった人物と何かのイベントで記者は一緒に登壇したことがあった。そのキーパーソンはスライドを投影しながら、イベントなどで QA を受け取るための Web サービス「Slido」を同時に起動して、会場からの質問をリアルタイムに受け付けていたのだが、これが集まること集まること。
短文の質問、思いのこもった長文のもの、具体的で実務的な質問、まるで哲学のような抽象的な質問、それを見た記者は「Slido ってすごい」とのんきに思って、後日編集部で開催した読者向け勉強会で Slido を使ってみた。20 名ほど参加者がいらしたのだが質問が寄せられることはなかった。一件も。
鈍い記者は一年ほど経ってから、すごいのは Slido ではなく、国内検索エンジン大手のセキュリティ構築を担当したその人物だったのだと気づいた。同じツールを使っても明確な差が生まれたのは、端的に人の話を聞こうとする姿勢があるかないかの違いだと思う。もっと言うなら人の意見を聞いて自分自身が変わる覚悟ができているかどうか。どちらの会場に集まった人たちもそれを完全に見抜いていたのだと思う。一瞬で。
3 月に東京駅南口から(信号が青なら)徒歩 30 秒の KITTE で開催される Security Days Spring 2025 で「大手グローバル企業も採用した『脆弱性診断への生成 AI 活用』~もう精査に人手をかけるのをやめませんか~」と題した講演を行う、株式会社エーアイセキュリティラボ 執行役員 兼 CX本部長の関根 鉄平(せきね てっぺい)氏もまた、しばしば講演で QR コードを読み込んで Web ページにアクセスさせて自由形式の質問を受け付ける QA を行うという。毎回鬼のような数の質問が寄せられるそうだ。
株式会社エーアイセキュリティラボは 2019 年 4 月設立。AI を活用して脆弱性診断の自動化を行う診断ツール「AeyeScan(エーアイスキャン)」を 2020 年 10 月にクラウドサービスとして提供開始した。
AeyeScan は DX 進展、そしてサプライチェーンリスク対応など、診断の幅・量・頻度を増加させたいユーザー企業の需要にマッチして多数のユーザー企業に採用されている。業界定番の調査レポート、株式会社富士キメラ総研の 2023 年度 国内セキュリティ検査ツール クラウド型 Web アプリケーション脆弱性検査ツール市場の部門でシェア 1 位を獲得した。
驚くべきことに AeyeScan は診断業務に一家言ある LAC や NTTデータ先端のような診断の玄人(くろうと)企業にも愛され、両社の診断サービスに活用されてもいる。
エーアイセキュリティラボの特徴は明確にユーザー企業のセキュリティ的な自立独立をゴールに掲げていることだ。AeyeScan が導入されている企業の多くがセキュリティの専門担当者がいない会社であり、それでも診断の頻度を高めたいであったり範囲を広げたいという目的で、AeyeScan を活用している。そこでの関根氏の役割は「伴走者」だ。自転車の荷台を押さえながら一緒に走行して、ここぞというタイミングで手を離す。そういう会社が累積で 200 社になろうとしている。いい技術者人生だと思う。
今回の関根氏の講演では、AeyeScan が 2024 年 10 月から提供開始した新機能「Web-ASM 機能」についても言及される。ASM 製品にありがちな、関係のない類似ドメインが多数リストアップされる課題などに関して、生成 AI によって選別が行われる AeyeScan の Web-ASM 機能では、そうした手戻りの発生が少ないこと等をデモを交えながら紹介するという。今回の講演でも Web から自由形式の質問を受け付けるという。ぜひ会場で関根氏の人柄に触れて、QA サイトから質問攻めにしてほしい。
なお、講演会場の外には AeyeScan のブースも出展される。どの程度自動でページ遷移を巡回してくれるのか、一度も見たことがないなら絶好のチャンスである。
さらにもうひとつ、あなたのノート PC 上で実際に AeyeScan を走らせるハンズオン「誰でも簡単にプロさながらの脆弱性診断ができる、AeyeScanハンズオンセミナー」も開催される。講師は同社 CX本部プリセールスリーダー 髙橋 貴弘 氏。90 分という尺があるから、ある程度の評価を行うことができるだろう。
こう書くと怒られそうだが、AeyeScan がこれほどシェアを拡大できたのは、製品はもちろんなのだが、彼らが診断内製化支援のプロフェッショナル集団として成長し、その能力を磨き上げていったことと深く関係がある。そういうことを彼らがわざわざ言わないのは、そんなこと言うとコンサルみたいでダサいと思っているからだろう。確かにダサい。そんなことを言ってしまったら、なんだか「AI 活用」というのもグローバルファームのスライドのようにウソ臭く見えてくる。不思議。
同社は 2024 年 4 月に「診断プラットフォーム」という、診断の年間スケジュールを策定したり、それぞれの診断の進捗や、実施後のパッチ当てなどを管理するソフトウェアの提供を開始している。「こんなどこにでもある進捗管理ソフト一体誰が使うんだか」と思ったが、代表の青木 歩 氏を取材する機会があってよくよく聞いてみると、どうやらこれは経営とセキュリティ担当者間のコミュニケーションツールとして開発されたもので、こんなものをわざわざ手間暇かけて作っている時点で、同社がセキュリティ担当者や情シスの味方であることが明確にわかると思う。使われる使われないの問題ではなくこれは彼らのユーザーとの約束なのだ。
少し話は脱線してしまうが、茂岩 祐樹 氏は DeNA 時代にセキュリティ部門の独立性を担保する経済的基盤として、診断を社内で内製化したことを根拠とした(著作『DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録』参照)。全社的にかなりの予算規模だったに違いない診断を、全て社内で内製化することで予算を浮かせ、そのお金でセキュリティ部門の部員を Black Hat USA に研修に行かせたり、さまざまな新しい試みを行って同社のセキュリティ体制を脱皮し飛躍させた。そのぐらい診断内製化には夢が隠れている。営業利益にプラスのインパクトを与える点で売上増と販管費減は等価ですよ。どうですか。ワクワクしてきませんか。
そんな夢を AeyeScan とエーアイセキュリティラボの関根氏を初めとする内製化 “自走” 支援チームと一緒に 2025 年は追ってみてはいかがだろうか。頑張って診断内製化を果たし、誉められて賞はもらったものの自分も部下も給料は上がらない、そんなつらいことが起きないような計画の相談にもこの会社はきっと喜んでのってくれるはず(多分)。
追伸
関根氏がいくつかの章の執筆を担当した書籍が刊行されるので言及してほしいと言われていたのだが、記事中ではそれどころかまったく別の書籍を紹介してしまう始末でしたので、末尾に書名を記載しておきます。
『セキュリティエンジニアの知識地図』技術評論社 2 月 25 日 刊
--
Security Days Spring 2025 東京
3.14(金) 10:30-11:10 | RoomA
大手グローバル企業も採用した「脆弱性診断への生成AI活用」~もう精査に人手をかけるのをやめませんか~
株式会社エーアイセキュリティラボ
執行役員 兼 CX本部長
関根 鉄平 氏
3.11(火) 12:15-13:45 | 5F
誰でも簡単にプロさながらの脆弱性診断ができる、AeyeScanハンズオンセミナー
株式会社エーアイセキュリティラボ
CX本部プリセールスリーダー
髙橋 貴弘 氏
<持ち物>ノートPC ※ワークショップでは Web ブラウザを使用
