デジタル資産の急増と、プロダクトマネージャーにのしかかる「セキュリティも担う前提」の重圧
DX(デジタルトランスフォーメーション)の進展により、事業会社におけるプロダクト開発はかつてないスピードで加速している。一方で、サイバー攻撃の手法も高度化しており、開発スピードとセキュリティ品質の両立は、多くのプロダクトマネージャーにとって頭の痛い課題となっている。
あらゆる企業がデジタルサービスの開発・提供に注力する現在、自社で管理すべきデジタル資産は急増。それに伴い、急速な技術の進化も相まって、必要なセキュリティ対策の範囲は拡大し、難易度も上昇の一途をたどっている。
「セキュリティもやる前提」の開発現場において、多くのチームが直面しているのが深刻なリソースと専門知識の不足だ。脆弱性の管理や対応が属人化しており、チーム内で共通の基準を持つことが難しいという声も少なくない。
プロダクトの価値創造を担うプロダクトマネージャーは、限られたリソースの中でセキュリティ対策も講じなければならず、同時にアジャイルな開発スピードとの両立も求められるという、極めて困難な舵取りを迫られている。
内製化による「シフトレフト」の重要性と、立ちはだかる無料ツールの壁
開発とセキュリティを両立させるための有効なアプローチとして、関根氏は運用体制の見直しを提唱する。従来のように、開発の最終段階でセキュリティ部門や外部ベンダーがまとめて脆弱性診断を実施する体制では、問題発覚時の手戻りが大きく、スピード感を損なってしまう。
これからの運用体制として目指すべきは、事業部門や開発部門自身が脆弱性診断を実施できる体制の構築である。要件定義や設計、開発といった早期のフェーズからセキュリティチェックを組み込む「シフトレフト」を実践することで、問題を早期に発見・修正し、手戻りを減らしてスピードアップと品質向上を両立させることが可能になる。
しかし、シフトレフトを進めるべく「診断の内製化」を試みる企業には、ツール選定という最初の壁が立ちはだかる。有償ツールは導入のハードルが高いため、まずは「OWASP ZAP(オワスプ・ザップ)」などの無料ツールから検討を始めるケースが多い。
一方で、無料ツールは設定さえ行えば診断は可能だが、使いこなすにはセキュリティエンジニア向けの高度な専門知識が必要になる。関根氏が実際の画面を用いて解説した通り、ログインフォームの定義や認証状態の維持、トークンの追跡など、システムに合わせた細かな設定を手動で行う必要がある。
「少し使いこなすにもコツがいるため、属人化してしまいます。無料ツールを導入しても、逆に工数がかかってしまってはやはり意味がありません」
関根氏はこのように指摘する。Webサイトの数や診断頻度が増加する中、人力での対応には自ずと限界が訪れるのだ。
専門知識不要。AIが文脈を読み取ってブラウザを自動操作する「AeyeScan」
リソース不足に悩む開発現場の救世主となるのが、AIを活用して診断を自動化するクラウド型Webアプリケーション診断ツール「AeyeScan(エーアイスキャン)」だ。同ツールの最大の特徴は、診断の全工程を圧倒的に自動化できる点にある。
セッション中に行われたデモンストレーションでは、その具体的な操作感とAIの高度な振る舞いが紹介された。利用者は、対象となるWebサイトのトップURLと、必要に応じてID・パスワードを入力して「脆弱性診断開始」のボタンを押すだけでよい。
「診断が開始されると言っても、いきなりシステムをテストをするのではなく、まず最初にクラウド上のブラウザを使って対象システムを調査します。画面遷移図を作成するために、ログインフォームの存在やその先のテスト対象画面を自動で把握し、ブラウザを操作していくのです」
関根氏の解説のとおり、テストシナリオを人間が一つひとつ手作業で作成することも可能だが、画面構成が変わるたびに作り直すのは大きな手間となる。AeyeScanは、変更があるたびにAIが自動でサイトを巡回・調査するため、その手間を削減できる。
さらに驚くべきは、フォームへの入力操作だ。例えば、氏名や国籍を選択する入力フォームが現れた際、AIは「氏名」という項目を認識して「巡回太郎」と入力したり、「フリガナ」の指定がカタカナかひらがなかを理解して適切に入力したりする。もし入力エラーで「数字を入れてください」と表示されれば、そのエラーメッセージを読み取って再度入力にチャレンジする仕組みまで備わっているという。
