「なぜ脆弱性があると判断したのか」根拠まで明示する親切なレポート
サイトの自動巡回が終わると、いよいよ脆弱性のスキャン(疑似的な攻撃)が開始される。これには数時間かかる場合もあるが、SaaS環境のためそのまま放置しておいて問題ない。
スキャン結果の画面では、単に「クロスサイトスクリプティングの脆弱性がありました」と報告されるだけでなく、開発者にとって非常に親切な情報が提示される。
「このボタンを押したときのパラメーターについて、正常な値はこれで、テストしたときの値はこれでした。その結果、このページでダイアログが表示されたため、脆弱性があると判断しました、というように『なぜ脆弱性があると判断したのか』という根拠がきちんと出てきます」
関根氏がそう強調するように、開発者は生ログを解析する時間を省き、提示された解説やOWASPなどのガイドラインを参照しながら、すぐに修正作業に取り掛かることができる。
また、開発プロセスの標準としてセキュリティを組み込むための連携機能も強力だ。GitHub ActionsやCircleCIなどのCI/CDツールと連携させることで、リリースのたびに自動でスキャンを実行する仕組みを構築できる。
スキャンの結果はSlackなどのコミュニケーションツールに通知されるほか、GitHubのIssueに自動登録させることも可能だ。プロダクトマネージャーが経営層に報告するためのサマリーレポートも自動生成されるため、報告資料の作成に追われることもなくなるだろう。
内製と外注を使い分ける「ハイブリッド型」運用とSaaS事業者の事例
一方で関根氏は、すべての診断をツールだけで賄おうとするのではなく、自社のセキュリティポリシーに適した運用を行うべきだと強調する。
推奨されるのは、内製と外注を併用する「ハイブリッド型」の運用だ。日々のリリースや機能改修時にはツールによる自動診断でスピーディに安全性を維持し、新規のWebサイト構築時や大規模改修時、あるいは年に1回の定期診断などのタイミングでは、外部ベンダーによるペネトレーションテストなども視野に入れ、濃淡をつけた対応を行うのがベストプラクティスである。
このハイブリッド運用を見事に実践しているのが、あるSaaS事業者だ。同社では事業拡大によりプロダクトが増加するにつれ、外注の手間やコストの問題から、脆弱性診断の間隔が空いてしまうという課題を抱えていた。
「小さな改修のたびに診断を外注するのではなく、内部で迅速に診断する選択肢も持ちたかった」
複数ツールを比較検討した結果、同社は自動巡回のカバー率の高さなどを評価してAeyeScanを導入した。
結果として、約60プロダクトに対して迅速な診断を実施できる体制が整い、自動生成される画面遷移図によってCISO室がプロダクトの画面状況を把握できるようになったという。さらに、ツールを身近に利用できる環境が整ったことで、開発者自身のセキュリティ意識が高まるという副次的な効果も生まれている。
プロダクトマネージャーにとってのセキュリティの再定義
プロダクトマネージャーにとって、セキュリティ要件は時に「リリースのブロッカー」としてネガティブに捉えられがちだ。しかし、AIツールを活用してシフトレフトを仕組み化できれば、セキュリティはプロダクトの品質を担保し、後戻りコストを防ぐための「強力な武器」へと変わる。
セキュリティエンジニアの不足は社会的な課題だが、AIを活用することで「専門家でなくてもできること」は確実に増えている。現場の負担を減らしながら開発スピードと安全性を両立させるために、まずはAeyeScanのような自動化ツールの無料トライアルなどを通じて、自社のプロセスに合うか検証してみてはいかがだろうか。
また、プロダクトマネージャーや開発チームの基礎知識向上としては、関根氏らが執筆した『セキュリティエンジニアの知識地図』(技術評論社)などの専門書も有用な道しるべとなるだろう。
エーアイセキュリティラボからのお知らせ
本セッションでご紹介したサービスにご興味を持たれた方は、ぜひ公式サイトをご覧ください。
