内製化を成功に導く具体的な5ステップとは
脆弱性診断の内製化を成功させるためには、先に挙げた事業部門との連携やツールの導入に加えて、全体プロセスを構築することも重要となる。阿部氏は内製化を成功させるためのプロセスを6段階(ステップ0〜5)に分けて説明した。
ステップ0:運用体制の構築・役割分担
まずは運用体制を明確にする。現状は事業部門からセキュリティ部門へ依頼することで脆弱性診断が始まるケースが多いが、シフトレフトの考え方に基づくと、「セキュリティ部門が支援役となり、事業部門・開発部門が診断を実行する体制」へ変えていくことが望ましい。
ステップ1:情報収集
どのWebサイト・Webアプリケーションを診断すべきか網羅的に把握する。阿部氏はある企業のセキュリティインシデントを例に挙げ、「前に作成したウェブサイトの運用を停止したはずが、実はまだアクセスできる状態だった」というケースを紹介。現代では、SaaSやIaaSなどを使って簡単にWebサイトが作れる時代であり、「気づいたらWebサイトが出来上がっている」状況も多いという。また開発環境や検証環境が公開されたまま残っているケースも多く、「自社のWebサイトはすべて把握していると胸を張れる方も、実は気づいていないサイトがあるかもしれません」と警鐘を鳴らす。
ステップ2:優先順位付け
棚卸したWebサイト・アプリケーションに対し、対応の優先順位を付ける。個人情報や決済情報の有無、サービス停止時のビジネスインパクトなど複数の観点から診断の必要性を評価していく。その上で「外部委託するか内製化するか」「新規リリース時、改修時、定期的に診断するか」などの方針を決定するアプローチが有効となる。
ステップ3:計画立案・進捗管理
事業部門・開発部門と連携し、開発における診断のスケジュール調整や診断環境の準備などを行う。診断対象となるWebサイトの特性に合わせた設定も必要になるため、要件確認のステップが重要。
ステップ4:診断・脆弱性評価
診断結果から検出された脆弱性について「修正の要否」を評価する。深刻度や想定されるリスク、修正コストなどを踏まえて判断するが、この判断履歴を残しておくことも大切だ。阿部氏は「過去の判断記録が、未来の自分たちの助けになることもあります」と指摘する。
ステップ5:継続的な運用改善
診断結果をステークホルダーに報告し、その内容を踏まえて次の計画を見直す。経営層、セキュリティ部門、事業部門それぞれに役割があり、部門を超えた連携が不可欠。阿部氏は「ツールを入れて終わりでなく、プロセス全体をきちんと仕組化していくことが重要です」と述べる。
エーアイセキュリティラボでは、これらのステップを包括的に支援するために、セキュリティマネジメントプラットフォーム「AeyeCopilot」の提供を予定している。同サービスについて阿部氏は「セキュリティ部門、経営層、それから事業部門の情報とのコミュニケーションを活性化させるプラットフォーム」だとし、脆弱性診断の内製化で課題となる“運用ルールの策定および実装”と、“組織間連携の問題解決”を支援すると説明した。
AeyeCopilotは、脆弱性診断の進捗を全社横断で一元管理して可視化する機能が備わっており、「どこまで診断が進んでいるか分からない」「きちんと修正が完了しているか管理できていない」などの課題解決を支援する。また、内製化に立ちはだかる“運用徹底”を、システム上で支援する仕組みも備えている。セキュリティ知見の浅い事業部門・開発部門でも「各サイトの診断が必要かどうか」「脆弱性対応の優先度をどうするか」を、全社ルールに則って判断・対応できるプラットフォームだ。
阿部氏は最後のまとめとして、AIを活用してセキュリティを強化するカギは「マネジメントの仕組み化」だと強調した上で「Web脆弱性診断・内製化のステップ0から5までのプロセス全体を仕組み化することが大切です」と述べ、講演を締めくくった。
AeyeScan|誰でも簡単に高度な脆弱性診断を
AeyeScan(エーアイスキャン)は、「いつでも誰にでもカンタンに診断できる」高精度なクラウド型Webアプリケーション診断ツールです。AIとRPAを活用し、専門家を必要とする作業を自動化することで、簡単に内製化できる仕組みを提供しています。
▶ 詳細資料ダウンロード
