社会が求めるWebアプリ診断とは何なのか？新サービスブランド「DiaForce」に託した思い

「利用者のニーズに応えたい！」
新サービスが生まれた背景を一言であらわすならこの言葉だと思います。

みなさんご存知のとおり、日本にもDX、デジタル化推進の波が来ています。
ここ数年、Webサービスの新機能・新コンテンツのリリース頻度が高まっていることなどを受け、Webアプリケーションの開発にはスピードが求められています。当然、Webアプリケーションに対してセキュリティ診断を行う機会はリリース頻度に応じて増加しますが、致命的な事故や不正を防ぐために、複雑なシステム間の連携も含めた全システムの診断（より深い診断）が必要となっています。

しかし、この「より深い診断」にはいくつかの問題があります。例えば、従来型の画一的に診断を実施する手法では、組織における事業開発のスピード感とコストが合わなくなってきている点が挙がります。もちろん診断の品質を落とすわけにはいきません。事故が起きた際の被害は、サービス運営者だけでなくそのWebサービスをご利用頂くお客様にまで及んでしまう恐れがあるからです。

診断の品質を維持し、スピードを上げ、コストも事業ニーズに適したものにする。そしてサービス運営者やその先にいるお客様にまで安心・安全を提供すること。これが社会から必要とされるセキュリティ診断であり、ラックはこの問いへの答えを見つけることが求められていると考えました。

そして、その問いを深く探求することが、ラックの新しいセキュリティ診断サービスブランド「DiaForce（ディアフォース）」の誕生につながりました。サービス開発の過程では、AI＋RPAを用いた独自の診断技術をもつ株式会社エーアイセキュリティラボという共創パートナーとの出会いもありました。

この記事では、2022年4月1日より提供を開始する「DiaForce Webアプリケーション診断 安全点検パック」と「DiaForce Webアプリケーション診断 エクスプレス」の説明を通して、ラックが目指すセキュリティ診断の未来はどんなものなのか、ご紹介します。

Webアプリケーションの40%は問題を抱えている

近年、Webサイトを開発・運用している組織の多くがセキュリティ診断を実施するようになりました。ラックの「セキュリティ診断レポート 2021 秋」で紹介していますが、Webアプリケーションにおいてリスクの高い脆弱性（重要な脆弱性）を検出する割合はここ数年減少傾向にあります。

しかし、減少傾向とはいえラックが実施する年間1,000件を超えるWebアプリケーション診断（以降「Web診断」）では、40％のWebアプリケーションにおいてリスクの高い脆弱性を検出しています。統計にも現れているとおり、5サイトに2サイトの割合でリスクの高い脆弱性が見つかっていますから、Webアプリケーションの開発時には様々なフェーズでセキュリティ対策を考慮することが必要です。

顧客と向き合い、潜在的なニーズを一から考え直す

ラックはこれまで「ちゃんとした」Web診断サービスを提供してきました。独自開発のツールや診断員の手動による診断を組み合わせることで、金融業界やエンタープライズ企業を中心として個人情報や金融資産を取り扱うWebサイトをいくつも診てきました。

また、ラックにはJSOCやサイバー救急センターといったサイバー攻撃の最前線を支えるサービス部門があり、最新の脅威情報やサイバー攻撃の動向が得られることも、我々の診断サービスが「ちゃんとしている」と自負できる理由の一つです。

しかし、ここ数年間で社会の状況は大きく変化しています。「いかに速くITシステムを開発し、サービスを世の中に送り出すか」が求められ、開発現場のスピードアップに伴い、セキュリティも迅速に確保することが求められるようになりました。丁寧に診断作業を行うために必要な時間と、事業で求められる開発スピードの間にある「歪み」が大きくなっているのです。

「短納期だがWebサイトの開発スケジュールに影響を与えたくない」
「リリース当初からは多くの予算をかけることが難しい」
「アジャイル開発などのプロジェクトでは繰り返し開発を行うため、都度診断を実施することがボトルネックとなっている」

お客様からはこのようなお悩みを多く頂くようになり、所要時間をかけないための工夫や各組織の事情に応じた柔軟な診断作業も数多く提案・対応してきました。しかし、顧客ニーズの多様化に伴い対応できる限界を超えるケースがしばしば出てくるようになり、

「社会が求めているセキュリティ診断とは何なのか、あらためて一から向き合おう」
といった議論が自然と始まりました。

答えはお客様の潜在的な悩み。2つの新しいWeb診断サービスとは

議論を続ける中で出てきたことは、「社会から求められるスピード感に対応するため、いかに品質を落とさずに生産性を高めるのか」ということです。そして、手動診断を軸とする既存のWeb診断サービスに加えて「機械に任せられることは機械に任せていこう」という発想が生まれました。

品質を落とさないという観点では、専門家が「作業とする部分」を代行できるよう、AI＋RPAを用いた高度な自動診断ツールの活用が決まりました。共創パートナーのエーアイセキュリティラボ社とともに挑戦を続け、約1年を経て新サービスの構築が実現しました。

そして、いよいよ2022年4月1日より、2種類の新しいWeb診断サービスをリリースすることになります。サービス名は以下の2種類です。

1. DiaForce Webアプリケーション診断 安全点検パック
2. DiaForce Webアプリケーション診断 エクスプレス

新サービスでは、診断員に代わりAIが自動でWebサイトを巡回（クローリング）して診断対象となる画面を検出するため、画面遷移図も機械が作成します。事前に必要な診断対象（Webサイト）の情報もFQDN（正式なドメインネーム情報）のみで済むなど、お客様の負荷も大幅に軽減されることが期待されます。そして、診断作業開始から報告書提出までの期間は、安全点検パックでは最短4営業日（エクスプレスでは最短2営業日）を実現しました。

もちろん、スピードを優先するあまり診断精度が落ちてしまっては意味がありません。OWASP TOP10:2017やASVS 4.0といった広く使われている指標を診断基準の参考にすることで、診断項目のカバレッジと診断精度を確保しています。

1．DiaForce Webアプリケーション診断 安全点検パック

「安全点検パック」は、人間ドックをイメージして頂けると分かりやすいと思います。

幅広い診断項目を自動診断ツールがカバーしつつ、ラックが長年培ってきたノウハウを身につけた診断員による手動診断を組み合わせることで、診断ツールでは対応しにくいWebアプリケーション固有の脆弱性を考慮した診断を実施します。人間ドックで、様々な検査で出てきた数値をすぐに見たり、触診や胃カメラなど難しい検査はお医者さんがやったりして、総合的な診察を行うのと近いイメージです。これまで時間や手間、コストなどの要因で、手を伸ばすことができていなかったWebサイト全体のリスク評価に貢献できると確信しています。

「Webアプリケーション固有の脆弱性も考慮した診断を早くやって欲しい」
「これまで診断できていなかったWebサイトのリスクも把握しておきたい」
という方に最適なサービスです。

2．DiaForce Webアプリケーション診断 エクスプレス

一方、「エクスプレス」はお医者さんの診察がない健康診断をイメージして頂けると分かりやすいと思います。

血液検査の数値やガンのマーカー検査などは、病気の兆候を素早く知ることができます。同じようにWebアプリケーションが抱える脆弱性の兆候と全体の状態を高スピードで把握することができるサービスに仕上げています。Webサイトのお医者さんである診断員は、自動診断ツールの結果を確認して、正式な診断結果としてお客様にお伝えします。

「セキュリティ対策の要件が正しく実装されているかをすぐに確認したい」
「Webサイトがどんな問題を抱えているのかを早く知りたい」
など、とにかく早く判断するための情報を得たいという方に最適なサービスです。

ラックのセキュリティ診断サービスが目指す先には

ラックでは、セキュリティ診断サービスの他にJSOCやサイバー救急センター、セキュリティアカデミーをはじめとする様々なセキュリティ事業を展開しています。これらの知見を結集した技術やコンサルティングを提供することで、お客様に喜んで頂ける存在に、社会にとってはなくてはならない存在になることを目指してきました。

ラックの診断サービスは、新サービスブランド「DiaForce」のもと今後もラインナップを拡充していきます。品質・柔軟性・網羅性・価格・スピード感を全て満たせる究極のサービス創出に挑戦し、DXやデジタル化社会の問題解決に貢献していきたいと考えています。