株式会社アクシス様

導入事例

アプリ開発ベンダー目線で採用した
AIリモート脆弱性診断が自社の一つの強みに

AI自動診断と専門家レビューの
きめ細やかさが決め手でした

ーーまず、レイ・イージス・ジャパンのAIリモート脆弱性診断を検討した経緯について教えてください。

宮腰　
弊社はアプリケーション開発やITソリューション提供を手がける会社で、今年で28年目になります。多くのアプリ開発をしてきた中で、これまでもいろいろな脆弱性診断の企業さんにもお願いしてきたのですが、予算も含め、クライアントの需要にあわせてセキュリティレベルも高く、かつオンデマンドでというところを探していました。

ーー今回AIリモート脆弱性診断を実施されたのはどのようなタイプのアプリなのでしょうか。

宮腰　
弊社で開発を受託している医療系Webアプリケーションのうちの一つで、複数年にわたるプロジェクトです。これまでも、ある一定のタームに達した時点で何度か脆弱性診断を行いながら開発を続けてきているのですが、パーソナルヘルスレコードを扱うという性格上、クライアントから求められるセキュリティレベルも高くなります。

ーー最終的にレイ・イージスのサービスを採用した決め手はどのような理由でしたか。

宮腰　
ポイントは3点ありまして、まずは、金融機関に大変多く採用されているという点です。FISCのお話も非常に詳しかったので、安心感がありました。体系的にご説明いただけて、OWASPやASVSなど基準が非常に明確だなと。
次に、過去にOWASPに沿った診断を試したことはありましたが、その際は人的チェックのみで、属人的な判断に依存していたため、十分なパフォーマンスが得られませんでした。一方、AIによる自動診断のみのサービスも試しましたが、精度や網羅性の面で求めるレベルには達していませんでした。
御社のサービスは、AIによる自動診断と正社員の有識者によるレビューを組み合わせた、まさに双方の長所を活かすいいとこ取りの手法であり、その点が我々のニーズに合致すると感じ、お願いすることにしました。
あと大きかったのは、開発の関係で短納期でのお願いだったのですが、非常に迅速かつ柔軟に対応いただけたという点ですね。

あえて第三者の目を入れて
チェックしていくことで得られるメリット

ーー御社は自社でもセキュリティソリューションを扱っておられるということで、お客様からの期待値も高いのではないでしょうか。

宮腰　
おっしゃるとおりで、弊社も経済産業省の「サイバーセキュリティお助け隊」に認定されているセキュリティ商材を扱っているという性格上、お客様からの期待値は高いものがあります。ですから自社でチェックを行うよりも、第三者にきちんと診断してもらうと、クライアントとしてもより安心ということがありますね。

ーーあえて第三者の目を入れていくメリットはどのようなことが挙げられますか？

宮腰　
アプリケーションをクライアントごとにカスタマイズしていく中で、さまざまな視点からチェックしていくことが大切だと思っています。例えばアプリケーションエンジニアの目線では見えないようなところまで突いてもらえるのは、セキュリティに特化した御社のような企業ならではですよね。
リスク自体は変わらなくても、サイバー攻撃の手法は時代とともに変わっていきますから、そのナレッジが蓄積されているところに依頼するメリットは大きいです。
そういった理由から、もともと自社プロダクト開発でも受託でも、弊社の場合は脆弱性診断を予算の段階で入れています。どのくらいのコストでどういう品質の脆弱性診断ができるかというナレッジを積み上げている中で、かなりいい感触のサービスに出会えたなと思っています。

人的コストも視野に入れた時の
費用対効果にも満足しています

ーー予算感、コスト面に関して、従来ご使用になられていた脆弱性診断との違いはいかがでしょうか。

宮腰　
これまで使っていたサービスのような画面数での価格設定ですと、予算取りのために画面数を数えなくてはならないということになります。サーバは同じ機能として、フロント側でちょっと変えた時に、画面数がどれくらい変化するのかなど気にしなければなりませんし、クライアントの予算もあるので、苦慮するところです。それが、レイ・イージスさんのようにFQDN単位だと何も考えなくていいので助かります。
草間　
クライアント側で予算を組んでしまった後で変更が入って画面数が増えて、予算内に収めるためにどの画面の診断をあきらめるかという選択をしていくのも、なかなか難しい課題でした。
宮腰　
何より、再診断は有料というところもある中で、再診断が無料というのは大きかったですね。
草間　
他社さんのサービスを利用させていただいた時は、再診断に関しても予算取りの時点でクライアントに判断してもらわなければなりませんでした。再診断をしないという場合にも、どう修正したか、弊社は報告をあげるのですが、本当は再診断をした方が明確なわけです。見た目でわかるのはアピールポイントとしては高いと思います。

ーー診断にかかった手間は、感覚としていかがでしたか？

岡本　
以前に試したオープンソースの脆弱性診断ツールは、事前の準備が大変でした。自分たちで設定して実際に診断を走らせてみたら、最終的に我々が開発していたプロダクトには、マッチしないということがわかったということもありました。
村木　
今回お願いした御社のサービスですと、もちろん設定の手間も削減できますし、それをまたレポートにまとめることを考えると、私たちにかかってくる工数はかなり削減できていますね。
岡本　
きちんとまとめられたレポートがあるとクライアントも安心しますよね。結果レポートの付録として診断項目もついてきますし。
村木　
これだけのチェックをして大きなセキュリティリスクがなかったということを証明できるのがいいと思います。
草間　
レポートをすべて見せて、セキュリティレベルごとにリスクのご説明ができて、修正工数と予算の兼ね合いを一緒に検討することができるのは、クライアントとの信頼関係を結ぶにも有用だと思います。
ローリスクのご説明や、常にリスクがゼロというのはあり得ないというのをご理解いただくのにも役立ちました。自社内にシステム担当者がいる企業は少なくなっていますので、わかりやすいレポートはとても便利です。

信頼性を大きな強みに
さらなるバリューを提供し続けたい

ーーAIリモート脆弱性診断をご使用になられてみて、今後のアプリ開発面でどのような展開が考えられますか？

宮腰　
弊社ではシステム開発の受託以外にも、自主サービスも継続的に開発していますので、それに関して御社のAIリモート脆弱性診断は、組み込んでいけるレベルのサービスだと思っています。
「システム開発・脆弱性診断・運用」というトータルコストで考えることができ、料金体系もエンドユーザーにとってわかりやすく、ある程度の予算に収まりながら品質の高いサービスを提供できるということになりますので、ユニークに選定いただける一つの武器になっていくのではと期待します。

ーー最後に、今後の大きな方向性・展望について一言お願いいたします。

宮腰　
アプリケーションやIT基盤はもはやインフラとなっています。昨今ではランサムウェアや認証の不備で、生活に欠かせないサービスや金融が止まったという事件も時々報道されていますが、そうした中で、さまざまな企業様が新規事業開発をしようとした時に、セキュリティ面で企画が却下されてしまったり、もしくは怖くて企画自体ができないというお話も耳にします。それは社会にとって大きな損失とも言えます。
レイ・イージスさんのようなセキュリティに特化した企業さんと一緒に、社会にバリューを提供し続けていけたらと考えています。

ーー本日は貴重なお話をお聞かせいただき、ありがとうございました。