顧客ニーズから生まれた新しい脆弱性診断サービスが企業のさらなる安全を支える

サイバー攻撃などによるセキュリティインシデントの被害が叫ばれて久しいが、その発生頻度の増加や影響範囲の拡大はいまなお続いている。そのため、世の中ではさまざまな情報セキュリティサービスが提供されているわけだが、そのような状況にあって日本RAは、ニーズが高まっている「脆弱性診断」の領域に着目。SaaS型のWebサイト自動脆弱性診断サービス「Web Doctor」を提供し、幅広い企業のセキュリティ対策を支援している。

企業のセキュリティ担当者から脆弱性診断を求める声があがる

日本RAは、インスパイア、大塚商会、オービックビジネスコンサルタント（OBC）、サイボウズ、サイバートラストの5社が株主となって2011年6月に設立。PKI（Public Key Infrastructure：公開鍵暗号基盤）と呼ばれる技術を活用した電子証明書を発行し、その証明書を使用した本人・端末の認証基盤サービスをメイン事業として展開している。

証明書の活用方法としては、主に「クライアント証明書」と「サーバー証明書」の2つがある。クライアント証明書は、サーバーなどに接続しているPCやスマートフォンなどが「許可された端末」であるか、あるいはそのPCやスマートフォンを使用している人物が「許可された本人」であるか、などを確認するために使用。例えば、リモートワークなどで外部から社内サーバーへ接続する際の端末確認や、1台のPCを複数のスタッフで共有している場合の利用者確認などに利用されている。

一方、サーバー証明書は接続先であるサーバーのサイト運営組織が実在することを証明するとともに、暗号化通信を行うためも利用される。これにより、Webサイトを利用するユーザーの個人情報などが第三者に盗まれることを防ぐなど、利用者の安全性の確保に役立てられている。

このように、認証基盤サービスはインターネット上でのさまざまなシーンに利用されており、企業規模や業界を問わず必要なものとなっている。そのため、日本RAの証明書は「大手の通信会社や鉄道会社から数人規模の中小企業まで、幅広い企業が利用している」と、日本RA 取締役の田所政司氏は説明する。

そういったなかで、顧客企業のセキュリティ担当者からの声として近年あがっていたのが、「脆弱性診断」へのニーズであった。ニーズが高まっている背景として、脆弱性診断がセキュリティ対策の一環として有効であるのはもちろんだが、田所氏によれば数年前から「入札案件や契約の条件の1つに『第三者による脆弱性診断』が含まれるようになってきた」という要因もあるそうだ。

しかし、各企業の担当者が必ずしもセキュリティ対策に関して詳しいわけではない。そのため、日本RAへ証明書に関する依頼をする際に「脆弱性診断を手掛けていないか？」という問い合わせが増えてきたという。そこで日本RAは、このニーズに応える脆弱性診断サービスとして「Web Doctor」を提供している。

経産省の基準をクリアした品質で診断、約1週間で完了するスピード感も魅力

Web Doctorは、ツールを使ったクラウド型の脆弱性検査サービスである。外部ネットワークからインターネット経由で疑似攻撃を行い、Webサーバーとアプリケーションサーバー、それらを含むネットワークの脆弱性を診断。これにより、Webの2大攻撃であるXSS（クロスサイトスクリプティング）やSQLインジェクションに対応するほか、ネットワーク系では「不要なポートが空いている」や「SSL/TLSの暗号のプロトコルが推奨されていないものが使われている」などのサーバー設定の問題点をチェックできる。

さらに、見つかった脆弱性とそれによる攻撃のリスク、必要な対策などをレポートにまとめて報告。それを基に顧客側が対策を講じたい際には再診断を実施し、脆弱性が改善されているかをチェック・報告するまでが、一連のサービス内容となる。

Web Doctorの特徴として、日本RA 営業本部部長の井田直哉氏がまず挙げたのは「情報セキュリティサービス台帳への登録」という点である。情報セキュリティサービス台帳は、経済産業省が定めた「情報セキュリティサービス基準」に適合したサービスのみが掲載されることから、その「品質の高さ」がユーザーにとってのメリットとなる。

さらに井田氏は、「顧客が簡単に申し込めて、すぐに診断ができる」という点も挙げる。例えば、ユーザーはWeb サーバーにアプリケーションをインストールしたり、専用ハードを設置したりする必要は一切ない。また、Web診断の場合であれば、申し込みの際にサイトのトップURLを設定するだけで、あとは日本RA側が診断に必要な設定をすべて行ってくれるそうだ。しかも、「申し込んでから約1週間で診断を完了してレポートを提出する」というスピード感も大きな魅力といえる。

ちなみに、トップURLを設定するだけでツール診断を行ってくれる診断サービスは他社にもある。しかし、認証などが必要でたどり着けなかったページがあると「診断できませんでした」という結果だけで終了してしまうケースもあるそうだ。

しかし、Web Doctorでは事前にサイト内を確認し、ツールがたどり着けないページは個別の設定を施し、サイトを網羅的に診断できるように事前準備を行う。ここがWeb Doctorと他社サービスとの大きな違いで、ツール診断でありながら手動診断に引けを取らないレベルで「網羅的にサイト全体をきちんと診断できるという点も、大きな特徴になる」と井田氏は自信を見せる。

どのような課題を抱えているのかを考え、適切な提案と手厚いサポートをしていく

そのほか、ツールによる自動診断であることから「低コスト」であることも見逃せないポイントの1つ。専門スタッフによる手動診断では100万円規模になるケースもあるだけに、30万円から利用できるWeb Doctorは、費用面で大きなメリットとなるはずだ。また、自動診断ツールは自社開発の純国産性となるため、新しい脆弱性への対応が早いうえに「日本の事情に合わせた対応もスムーズになっている」と田所氏は補足した。

一方で、パートナーである代理店やエンドユーザーである企業とのやり取りを担う日本RA 営業本部の木村佳奈氏は、自社の強みとして「サポートが手厚い」という点を挙げる。木村氏いわく、電子証明書もWeb Doctorもあくまで“ツールの1つ”であり、それらを「どのようにして活用すべきか」や「実際に何を実現したいのか」といった課題が出た場合、顧客だけでそれらの課題を解決することは「難しいケースが多々ある」そうだ。それだけに、パートナーやエンドユーザーがどのような課題を抱えているか、木村氏は日々注意を払っているとのこと。さらに、自分たちがパートナーのサポートに入って製品を説明したり、エンドユーザーの課題を直接聞いたりすることもあるわけだが、そこで適切な提案をしていくことが「自分たちが存在する価値になる」と考える。

設立から10年以上、PKIに関するサービスを主軸としてきた日本RA。PKI自体はすでに20年以上前から活用されている“枯れた技術”であることから、田所氏は今後「PKI以外のサービスにも事業を広げていきたい」と先を見据える。その意味で、Web Doctorは事業拡大の1つとなり得る取り組みとなる。

一方で、既存のPKIや電子証明書については、もっとコンシューマレベルでも使えるように「サービスの利便性や分かりやすさを高めていく必要がある」と考える。また田所氏は「これは夢物語だが・・・」と断りつつも、クラウドサービスを利用する際にユーザーが「そのサービスに日本RAの証明書が使われているか。それを気にしてもらえるぐらいの認知度に自社を成長させたい」と笑いながら期待を込めた。

Web Doctor

https://www.nrapki.jp/service/web-doctor/