【Log4j対応】いつでもどこでもだれでもWebアプリ診断できる～セキュリティテストを成功に導くQuick WATCH～

2021年12月9日に公開された、Javaのログ出力ライブラリ「Apache Log4j」に存在するリモートから悪用可能な脆弱性（CVE-2021-44228）について、JSOCにて攻撃を検知し、緊急で注意喚起をいたしました。

組織内において、該当のソフトウェア利用を調査～アップデート等、緊急の対策をいただくことを強く推奨いたします。

また、先日リリースしたラックのWebアプリケーション診断の新しいソリューション「Quick WATCH」で利用している、SaaS型Web診断プラットフォーム「AeyeScan」（株式会社エーアイセキュリティラボ）でも、「Apache Log4j」の脆弱性を確認する診断用シグネチャを追加しました。

「対策後に、きちんと対策されているかを点検」するなど、今回の対策においても有効な手段の1つなりますため、ぜひご検討ください。

---

DXが全盛期を迎え、Webアプリケーションの開発スピードが加速しています。すばやいセキュリティ診断が求められることで、自ら診断環境を持つ「内製化」を検討する動きが急速に広がっています。セキュリティ診断の対象が重要システムから全資産へと変わりつつあり中で、診断を外部委託すると1カ月以上の時間を費やすケースもあるからです。

今回は、そんな時代の変化に合わせたWebアプリケーション診断（Web診断）の新しいソリューション「Quick WATCH」を紹介します。本サービスは、SaaS型Web診断プラットフォーム「AeyeScan」を手がける株式会社エーアイセキュリティラボ（Aeye）との共創で生み出した新サービスです。

Webアプリケーションの40%に追加のセキュリティ対策が必要

近年、Webサイトを開発・運用している組織の多くがセキュリティ診断を実施するようになりました。ラックの「セキュリティ診断レポート 2021 秋」で紹介した通り、Webアプリケーションにおいてリスクレベルの高い脆弱性を検出する割合は、ここ数年減少傾向にあります。

※ セキュリティ診断レポート 2021 秋～クラウド時代のセキュリティマネジメント

減少傾向とはいえ、ラックが実施する年間1,000件を超えるWebアプリケーション診断では、40％のWebアプリケーションにおいて重要な脆弱性を検出していることが現状であり、引き続きWebアプリケーションの開発時におけるセキュリティ対策の強化が望まれます。

DXの全盛期、診断対象は「重要システム」から「全資産」へ

セキュリティ技術者が手動で実施する外部委託診断と、診断ツールを用いて自組織にて実施する内製診断は、果たす役割が異なります。

外部委託診断は専門ベンダに委託するため、品質が自社実施よりも高くなる分、コストと時間がかかります。そのため、予算の範囲内で診断を実施するためには、診断対象となるWebサイトに優先度付けを行うことが一般的です。従って、重要な機能を持つWebサイトは適切にリスク評価を実施していても、対象外となるWebサイトには全くリスク評価が実施されないことも珍しくありません。

しかし、優先度上「重要ではない」としているWebサイトの脆弱性を突かれて被害に遭うケースも実際に存在し、従来のリスク評価において対象外となっていたWebサイトについても、リスクを把握しようという動きが強まっています。「外部委託診断ではコストと時間がかかるので、全てのWebサイトは診断できない」「内製化をするには体制整備が大変」といった課題の解決や、これまでリスク評価が行き届いていなかったWebサイトも診断するためには何が必要なのでしょうか。

Web診断をめぐるお客様の課題を解決し、さらに喜んで頂けるセキュリティサービスを提供するため、この度Aeyeが手がけるAeyeScanと、ラックの豊富な知見とコンサルティングが融合することで「いつでも、どこでも、誰でも利用できるWeb診断サービス "Quick WATCH"」をリリースしました。次項では、新サービス「Quick WATCH」を紹介します。

「いつでも、どこでも、だれでも」利用できるWeb診断？

AeyeのAeyeScanには、「WebサイトやSaaSを含むWebアプリケーション領域の脆弱性診断の自動化がとても難しく、時間もかかるという課題を解決したい」という熱い思いが込められています。

AeyeScanは、AI＋RPAによって診断対象となるWebサイトを自動的に巡回し、検出した画面に対して脆弱性診断を実施する全自動型のWeb診断プラットフォーム（SaaS）です。AIが仮想空間にブラウザを立ち上げ、人間が目視するのと同じようにAIが画面遷移を確認して診断を実施します。

例えば、ある診断対象画面の入力欄に「名前」と書いてあれば、漢字で姓名が書かれるフィールドであると判別して入力することが可能です。人工知能の目（Eye）を用いた画像認識をセキュリティ診断に取り入れようという考え方は、従来のツールになかった発想です。これにより、WebサイトのFQDN（完全修飾ドメイン名）を入力して「スキャン開始」ボタンを押下するだけで、人間の目と同じ動きで診断する箇所を判別することができます。

これにラックの脆弱性診断コンサルティングを融合し、即時性を重視した診断の在り方、すなわち新しい選択肢を提案するのがこの「Quick WATCH（Web Application Try CHecking）」です。

Quick WATCHが提案する、即時性を重視した診断の在り方

いつでも、どこでも、だれでも診断可能な環境＆専門家のフォローで実現。

• ブラウザから診断可能なため、専用ツールはインストール不要
• FQDNを登録すれば診断を開始できるため、専門知識は不要
• 診断終了後、診断結果（レポート）はすぐに取得可能
• 専門家のフォローが必要なポイントは、ラックの診断エキスパートが手厚く支援

ラックとAeyeだから実現、Web診断と脆弱性マネジメントの融合

ラックの脆弱性診断コンサルティングでは、金融業界のお客様や大手エンタープライズ系企業からの相談を多く頂いており、従来脆弱性マネジメントと課題解決のアプローチを提供しています。（以下は代表的な提供項目例）

コンサルティングの提供項目一例

Quick WATCHでは、上記に加えてAeyeScanを活用した診断方法のサポートを提供することで、これまで難易度が高いとされていた内製診断のハードルを大きく下げられます。これまではコストや組織内の負荷を考慮してリスク評価の対象外となっていたWebサイトについても、ラックの脆弱性診断コンサルティングを活用することで、より効果的に、より即時性の高い対応を実現しています。

ラックは、脆弱性診断の他にJSOCやサイバー救急センター、セキュリティアカデミーをはじめとする様々なセキュリティ事業を展開し、これらの知見を結集した技術・コンサルティングを提供することで、企業に喜んでもらえる、社会にとってはなくてはならない存在になることを目指してきました。

そして、今回紹介した脆弱性診断の領域では、まずWeb診断が次なるステージへと歩みを進めます。今後も顧客企業に喜んでもらえるサービスを紹介しますので、ラックが提供する新たな価値と経験にぜひご期待ください。DX時代でも変化を続けるセキュリティ上の課題について、エキスパートが最適解を提案します。