国産ASMツール「ネットde診断 ASM」でセキュリティ管理の障壁を下げる！担当者が語る開発秘話（前編）

更新日：2024.08.08

GMOサイバーセキュリティ byイエラエ(以下、GMOイエラエ)のエンジニアたちがあるテーマやトピックについて自由に語り合う「IERAE JOURNAL」。第三回目はプロダクトサービス事業本部とマーケティング部のメンバーに「ネットde診断」の開発秘話と今後の展望について前編と後編に分けて語ってもらいます。前編では国産ASMツール「ネットde診断ASM」の開発秘話についてお届けします。

座談会メンバー

プロダクトサービス部　部長　
市川遼
学生時代から多くのCTFで経験を積む。セキュリティスタートアップで脆弱性診断業務や研究開発業務に従事した後、2023年11月より現職。「ネットde診断」の開発チームのマネージャーを務め新規プロダクトの技術選定や実装方針の決定を行う傍ら、自らも開発に携わる。

プロダクトサービス部　ネットde診断課　課長
大西和貴
2017年新卒でさくらインターネット株式会社に入社。クラウドサービスの運用や開発、研究を経て2022 年から現職。現在は「GMOサイバー攻撃ネットde診断」診断エンジン開発のコアメンバー。インフラからバックエンド、フロントエンドまでレイヤを問わず、設計から開発・運用まで幅広く担当。脆弱性に関するパッチやエクスプロイトの調査から実装方針の決定も行う。

執行役員
マーケティング部　部長
坂本知也
大手ITベンダーにて銀行系システムエンジニア、ITベンチャーにてSaaS事業のプロダクトオーナーなどを経て、現在はGMOサイバーセキュリティ byイエラエ株式会社の全社マーケティングの責任者を務める。「サイバーセキュリティ・ブランド想起率No.1 & ストックビジネス創出」をミッションに、広報・集客・プロダクト販売を統括し、戦略立案から実行までを推進。

インタビュアー
上席執行役員
サイバーセキュリティ事業本部　本部長
寺村亮一
博士号取得後、大手コンサルティングファームにてサイバーセキュリティ業務に従事し、大手自動車部品メーカーとのサイバーセキュリティ合弁会社設立などを主導。2020年より現職。その他、CRYPTREC 暗号活用委員など幅広く活動。CISSP / GXPN / 博士（工学）

攻撃者目線で守る！イエラエのSaaSプロダクト「ネットde診断」の開発秘話

寺村：よろしくお願いします。まずはみなさま自己紹介をお願いします。

坂本：マーケティング部、部長の坂本です。私のミッションは、「ネットde診断」を世の中に広め、多くの人々に役立ててもらうことです。

市川：プロダクトサービス部、部長の市川です。「ネットde診断」の開発チームを取りまとめ、全体的な方針を決定しています。現場の業務を中心に担当しています。よろしくお願いします。

大西：プロダクトサービス部ネットde診断課の課長、大西です。「ネットde診断」のシステムエンジンや、ウェブサイトに貼られているサイトシールの開発などを主に担当しています。よろしくお願いします。

寺村：よろしくお願いします。それでは早速「ネットde診断」の話を始めたいのですが、その前に少し昔話をさせてください。イエラエが「ネットde診断」をリリースしたのは2023年ですが、実はこの前身となるプロダクトとして「メティシス」がありました。その話を少し聞かせて下さい。

大西：「メティシス」はお客さまに登録いただいたIT資産情報をもとに、外部に公開されている脆弱性情報と照合して、IT資産にセキュリティリスクがないか管理するシステムでした。お客様もグローバル事業を展開される大企業様でした。イエラエのプロダクトサービスSaaSは、グローバルに展開されるお客様のニーズを聞いてそれに応える形でスタートしました。

寺村：その後、GMOインターネットグループにジョインする話が出てきて、新しいプロダクトを作ることになりました。これは当初「カルテ」という名前でしたね。

GMOインターネットグループ全社のシステムをイエラエが診断し、問題点をすべて改善するというプロジェクトが、ジョインと同時にスタートしました。

ただ、GMOインターネットグループは全部で100社以上あって、それぞれがさまざまなサービスをWebで提供しています。それらを全てエンジニアが手動で診断するのには非常に時間がかかるため、大規模なグループの脆弱性診断を、イエラエが満足できる品質で自動化出来るプロダクトとして自動診断ツール「カルテ」を開発しました。

「ネットde診断」は「メティシス」と「カルテ」が統合したシステムです。つまりグローバル企業やGMOインターネットグループ100社以上にも対応できるIT資産管理機能とイエラエのセキュリティエンジニアの知見を入れ込んだ脆弱性診断機能を組み合わせて、形にしたのが「ネットde診断」ですね。

市川：思っていたより歴史がありますね。

寺村：そんな歴史あるネットde診断ですが、現在はIT資産の管理やセキュリティ管理を行いたい方向けにASMツールとしての機能を強化した「ネットde診断 ASM」と、セキュリティ診断を内製化されたい方向けに脆弱性診断機能を強化した「ネットde診断 for Web」の２製品を展開しています。

今回、前編ではまず「ネットde診断 ASM」の話を伺えればと思います。

ASMの基本と「ネットde診断」の特徴、大企業向けセキュリティ管理

坂本：「ネットde診断 ASM」のリリースタイミングは本当に絶妙だと思います。プロダクトのリリースにおいてタイミングは非常に重要ですが、経済産業省からASMの重要性を説く記事が発表されたことや、日本でもASM市場が盛り上がり始めるなど、追い風となる要素が重なる中でのリリースとなりました。

寺村：「メティシス」のときはASMなんて言葉あまり聞かなかったですけれどもね。運も重要ですね。ASMの名前が出てきたので、改めてASMがどのようなサービスか説明をお願いできますか？

坂本: ASMはアタックサーフェスマネジメントの略称です。インターネットに公開されているIT資産（WebサイトやVPN）を適切に把握・管理し、セキュリティ対策をする取り組みです。

市川: アタックサーフェスマネジメント自体は、必ずしも自動化されている必要はありませんが、外部の攻撃者からのセキュリティリスクを定量的に評価できる仕組みだと思っています。定量的に評価できるため第三者から見てもリスクが分かりやすいです。ユーザはそれを見て、対策を行うことで、自組織のセキュリティ状態を管理・改善できます。

寺村: ASMのニーズは、中小企業か大企業のどちらが多いでしょうか?

坂本: 大企業が多いですね。全社のIT資産を横断的に把握する必要があるので、IT資産が多ければ多いほどニーズが高まります。

寺村: そうですよね。このところ、サプライチェーンのサイバー攻撃とその対策が意識されるようになったと思います。自社のみならずグループ会社も含めてセキュリティ管理をしなさいというガイドラインもたくさん出ていると思います。その課題に対して一つのアンサーとして、このツールを導入すればよいと登場したのがASMのようなイメージを持っています。

坂本：盛り上がった背景はまさにその通りで、2020年ぐらいに大手自動車メーカーでサプライチェーン関連の大きな事故があったんですよね。あれが一つ大きなきっかけとしてはあると思います。それらを踏まえて経産省からASMのガイドラインが出されて、イエラエにもASMの相談が増えてきました。

「ネットde診断 ASM」の3つの強み「UIの分かりやすさ」・「リーズナブルな価格」・「国産の信頼性」

寺村：「ネットde診断 ASM」をはじめとしたASMは、これを使えばIT資産管理およびセキュリティ管理が楽にできますよというサービスだと思います。世の中にさまざまなASMツールがあるなかで、「ネットde診断 ASM」はどんな特徴を持っているASMツールなのか教えてもらえますか？

坂本:お客様から最も好評をいただいているのは、初めての方でも使いやすいという点です。実際に「ASMに取り組んだことはないが、これから取り組んでいきたい」というお客様に多く導入いただいています。

初めての方でも使いやすい理由は3つあります。1つ目は、プロダクトのUIが分かりやすく、レポートも見やすく操作がシンプルなこと。2つ目は、価格が他社のセキュリティASMツールに比べて比較的リーズナブルであること。3つ目は、国産のASMツールであり、海外製品に比べて分かりやすく信頼性が高いことです。

◾️使いやすさを追求したUI/UX革命、イエラエの「ネットde診断 ASM」改善計画

寺村:ありがとうございます。今、「UI/UX」、「価格」、「国産」の3つのキーワードが出てきたと思います。

寺村：一つ目のUI/UXについてですが、元々、「ネットde診断」のコンセプトとして、「ユーザーがワンクリックで使えるセキュリティプロダクト」があります。これはいくら高いセキュリティを提供できるプロダクトでも、ユーザに複雑な操作を求めてしまうと利用されない、結果として何もセキュリティが向上しないためです。ワンクリックで誰でも簡単に使えるものを目指して開発されていると伺っています。

ただ、ネットde診断の現在のUI/UXについて、デザイナーの大倉さんは満足していないと聞いていますが（笑）

大倉：そうですね、納得はしていないですね（笑）。「ネットde診断」は、ITやセキュリティに詳しくない方でも使えるようなUI/UXを目指しています。ユーザが使いやすいプロダクトにすることが、多くの人にご利用いただけ、結果として日本のセキュリティを向上することにつながると思っているので。使いにくいサービスにはしたくないな、という思いがあります。

他社のASMツールと比較した場合、ワンクリックで利用開始できるなど、ある程度使いやすいUI/UXは実現できているとは思いますが、まだまだ課題があります。より使いやすいプロダクトにできるよう、これからも大規模なUI/UXアップデートなど検討していますので、ぜひご期待いただければと考えています。

寺村：ありがとうございます。私の感覚では、ASMに限らずセキュリティツールは、なかなか専門家以外の方には使いにくいと思っています。私たちが「ネットde診断 ASM」で目指すのは日常的に使いやすいASMツールであり、普通の人が普通に使えるASMツールと考えています。実際に使う人にとって使いやすいサービスをこれから先も突き詰めていきたいですね。

◾️他にはない価格優位性と高品質を実現、イエラエのASMツールの真価

寺村：次に価格の話をさせてください。市川さんから説明してもらえますか？

市川：ネットde診断 ASMは他社製品と比べてもお求めやすい価格が実現できていると思います。なぜこの価格が実現できているかというと、GMOインターネットグループの大規模なシステム基盤を使えているからです。

寺村：それは大きい。

市川：SaaSプロダクトの場合、コストダウンはどれだけユーザー数を増やせるかにかかっています。ユーザーひとりひとりから利用料金をいただいてやっているので、その人数が多ければ多いほど価格を下げられます。

「薄利多売」という表現は少し誤解を招くかもしれませんが、GMOインターネットグループがグループ全社で使うとコミットしてくれているので、初めから多数のユーザーがいる前提で価格が決定できています。そのぶん、ユーザーひとりひとりからいただく金額については低く抑える形で運営できています。

これは普通の会社では難しいことで、イエラエがGMOインターネットグループに入ったことで実現できたことだと思っています。正直、この価格帯でこのレベルのものは他にはないと思います。

寺村：あとはインフラ部分のコストも重要ですよね。

市川：システム運用にはクラウド基盤やオンプレミスのサーバーリソース、大量のネットワーク帯域など色々必要ですが、GMOインターネットグループの一員として、これらを安価に提供してもらえています。これにより、実際のコストを下げることができ、価格優位性を実現できています。

坂本：これまで10年以上かけて培ってきた7500件以上の脆弱性診断のノウハウや知見をツールに落とし込んでいる点も大きなアドバンテージだなと思います。

大西：イエラエが提供してきた脆弱性診断の過去の統計データに基づいて、よく指摘があがる項目やリスクが高い項目を優先して実装しています。

坂本：だからこそ高品質と低価格の両立ができているのかと思います。

市川：実際の診断実績をもとにして何件裁きましたっていうのは、時間使わないと作れないですね。そこの秘伝のタレみたいなものがイエラエには元々あるので。それを一つひとつ実装して表に出している点が他のASMツールに対しての優位性ですね。

◾️日本の脆弱性診断を変える！イエラエの国産ASMツールの魅力

寺村：最後に「国産」というワードが出ていましたが、国産というところについてお客さんからどのような声がありますか？

坂本：ASMツールは海外製品が多いのですが、セキュリティ関連の診断結果には専門用語が多く含まれており、もともと理解が難しい内容となっています。これに加えて、英語で表示された内容やツールで日本語翻訳した場合、さらに分かりづらい内容になってしまう、という課題感があります。それに対し「ネットde診断 ASM」は国産ツールなので分かりやすく安心感があるというお声をいただけています。

大西：国産の強みという点でいうと、やはり日本でよく利用される製品に特化した診断項目を多めに作成しています。一例をあげると、WordPressやEC-CUBEなどですね。海外向けのASMツールは日本ではあまり利用されない製品に対する診断項目も多いかな、とは思います。

またやはり、日本のユーザはシステムにできるだけ影響を与えたくない、というニーズが高い、と感じています。同じASMツールと言っても、一部海外製品にはシステムを壊すことを厭わない診断シグネチャが入っている場合もあるので。「ワンクリックですぐ使える」「システムに影響を与えにくい」「脆弱性を発見出来る」その絶妙な塩梅が取れているのは「ネットde診断 ASM」かなと思います。

寺村：その点は社内でもだいぶ議論がありました。本当はもっと攻めた診断シグネチャを入れたいというエンジニアの意見もありましたが、この話は後編の「ネットde診断 for Web」のところで。

やはり「ネットde診断 ASM」は日本でよく求められる機能を優先的に組み込んでいるため、他の海外製品と比べて、痒いところに手が届くというか。お客様との対話をしながら作られた、日本のユーザにとって非常に使いやすいASMツールになっているのかなと思います。