脆弱性診断ツール「ネットde診断 for Webアプリ」で脆弱性診断の内製化を実現!担当者が語る開発秘話と今後の展望(後編)
GMOサイバーセキュリティ byイエラエ(以下、GMOイエラエ)のエンジニアたちがあるテーマやトピックについて自由に語り合う「IERAE JOURNAL」。第三回目はプロダクトサービス事業本部とマーケティング部のメンバーに「ネットde診断」の開発秘話と今後の展望について前編と後編に分けて語ってもらいます。後編では脆弱性診断内製化ツール「ネットde診断for Webアプリ」の開発秘話と今後の展望についてお届けします。
座談会メンバー
プロダクトサービス部 部長
市川遼
学生時代から多くのCTFで経験を積む。 セキュリティスタートアップで脆弱性診断業務や研究開発業務に従事した後、2023年11月より現職。「ネットde診断」の開発チームのマネージャーを務め新規プロダクトの技術選定や実装方針の決定を行う傍ら、自らも開発に携わる。
プロダクトサービス部 ネットde診断課 課長
大西和貴
2017年新卒でさくらインターネット株式会社に入社。クラウドサービスの運用や開発、研究を経て2022 年から現職。 現在は「GMOサイバー攻撃 ネットde診断」診断エンジン開発のコアメンバー。インフラからバックエンド、フロントエンドまでレイヤを問わず、設計から開発・運用まで幅広く担当。脆弱性に関するパッチやエクスプロイトの調査から実装方針の決定も行う。
執行役員
マーケティング部 部長
坂本知也
大手ITベンダーにて銀行系システムエンジニア、ITベンチャーにてSaaS事業のプロダクトオーナーなどを経て、現在はGMOサイバーセキュリティ byイエラエ株式会社の全社マーケティングの責任者を務める。「サイバーセキュリティ・ブランド想起率No.1 & ストックビジネス創出」をミッションに、広報・集客・プロダクト販売を統括し、戦略立案から実行までを推進。
インタビュアー
上席執行役員
サイバーセキュリティ事業本部 本部長
寺村 亮一
博士号取得後、大手コンサルティングファームにてサイバーセキュリティ業務に従事し、大手自動車部品メーカーとのサイバーセキュリティ合弁会社設立などを主導。2020年より現職。その他、CRYPTREC 暗号活用委員など幅広く活動。CISSP / GXPN / 博士(工学)
脆弱性診断の内製化を実現!「ネットde診断 for Webアプリ」の全貌
寺村:前回のASM(※1)の話では、システムの安全性を重視しつつも、技術的にはもっと踏み込んだ診断を行いたいという声がありました。そこで、新しいサービスをリリースする予定と聞いていますが、その詳細について教えていただけますか?
(※1)アタックサーフェスマネジメントの略称。インターネットからアクセス可能な IT 資産を発⾒し、
それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセスのこと。
市川:はい、新しいサービスは「ネットde診断 for Webアプリ」という名称で展開する予定です。現在の「ネットde診断 ASM」がOSINT的なアプローチ、つまり外部から観測可能な情報を中心に診断を行っているのに対し、新サービスではより深掘りした診断が可能になります。
具体的には、イエラエが長年蓄積してきた脆弱性診断の知見を活かし、独自のエンジンを開発しています。これにより、より精度の高い、イエラエならではの脆弱性診断ツールを提供できるようになります。
寺村:なるほど。ASM向けのエンジンと比べて、どのような違いがあるのでしょうか?
市川:ASM向けのエンジンが「誰でも使える」「システムへの影響を最小限に抑える」ことに重点を置いているのに対し、新サービスではより踏み込んだ診断が可能になります。そのため、Webアプリケーションの診断では、ドメイン情報だけでなく、より詳細な情報を用いて診断を行います。
寺村:ターゲットとなるお客様像はどのように想定していますか?
市川:主に、エンジニアや技術的な知識を持った方々を想定しています。また、診断結果のレポートも、ASMが初めての人でも使いやすい分かりやすさを重視しているのに対し、新サービスではエンジニア向けの詳細な情報を提供します。イエラエの手動の脆弱性診断レポートに近い粒度の情報が得られるイメージです。
寺村:つまり、レポートは詳しさを重視し、対策もエンジニア向けに記載されるということですね。
この新しいサービスは、脆弱性診断の内製化を目指す企業や、大規模な診断を行いたいが、外部委託のコストを削減したいお客様に適しているように見えますね。
市川:その通りです。
坂本:「ネットde診断 ASM」が情シスやセキュリティ部門による全社横断的な診断を目的としているのに対し「ネットde診断 for Webアプリ」は自部門で管理しているWebサイトやWebアプリケーションをより詳細に診断したいというニーズに応えるものを想定しています。
寺村:診断に必要な情報として、ASMではドメイン情報だけでしたが、新サービスではどのような情報が必要になりますか?
市川:ログイン後のページなど、単純なクローリングでは到達できない領域も診断対象とするため、正しいユーザー名とパスワードの情報が必要になります。
寺村:ASMと比べて、診断の深さや時間的制約などはどう変わりますか?
大西:ASMでは、早く結果を見たいというお客様の声や、サーバーコストの都合上、診断を実施する時間に制限を加えていましたが、サービスではその制限を大幅に緩和しています。またASMでは、診断がお客様環境に影響を与えないように、すごく安全に倒しています。
新サービスでは、もちろん安全面は最大限に考慮しつつも、これら制限を緩和しています。これにより、より深い診断が可能になり、イエラエのエンジニアが本来見たいと考えていた項目も含めることができました。
寺村:ありがとうございます。イエラエの長年の経験と技術を活かした、より深い脆弱性診断サービスが提供されるということですね。エンジニアの方々にとって、非常に有用なツールになりそうです。
◾️高品質・低価格!イエラエの知見を詰め込んだ脆弱性診内製化ツール
寺村:次に、脆弱性診断内製化ツールとして、「ネットde診断 for Webアプリ」 はここがすごい!というポイントを教えていただけますか?
市川:最大の強みは、イエラエが蓄積してきた膨大な脆弱性診断の知見です。このツールは、実際に脆弱性診断を行ってきた経験豊富な専門家もプロジェクトに参加して開発を進めています。そのため、イエラエの脆弱性診断の知見が直接反映されています。
また、イエラエにはCTF(Capture The Flag)をはじめとした国内外のセキュリティコンテストや、ゼロデイ攻撃を多数発見するなど、高度な技術を持つ専門家が多数在籍しています。そのような方々にも開発プロジェクトに関わっていただいています。
寺村:ありがとうございます。また「ネットde診断ASM」の際にお伺いした強みは、「ネットde診断 for Webアプリ」にもあるのかな、と思います。
寺村:特に価格面では、「ネットde診断ASM」の際にお伺いしたようにGMOインターネットグループからインフラ面での協力を得ているので、既存の製品と比べた際に、お客様がお求めやすい価格で提供できるのではないかなと思っています。
坂本:高品質、低価格、使いやすさの3点を兼ね備えたツールということですね。
チームワークで高品質プロダクトを実現!「ネットde診断」の体制と連携の力
寺村:次に、ネットde診断の開発体制について伺いたいと思います。興味深いのは、開発チーム、カスタマーサクセス、UI/UXチーム、マーケティングチームが常に連携しながら製品を作り上げている点です。各チームの体制について簡単に教えていただけますか?
市川:開発チームは、実はそれほど大規模ではありません。ネットde診断の専属エンジニアは5人程度です。ただし、イエラエのさまざまな方々から部署や組織を超えた協力を得ています。例えば、GMOイエラエには既に100を超えるお客様に提供している「プライスサーチ」という自社開発SaaSプロダクトがあるのですが、そこの開発チームの方々からも幅広く支援をいただいています。また普段は脆弱性診断やペネトレーションテストを実施している方々も開発に入ってもらい、シグネチャを書いてもらったり、レビューをしてもらうことがあります。このように専属メンバーは少ないのですが、全社で後押ししてもらっている開発体制になっています。
坂本:マーケティングチームは現在11人で、主に3つの機能に分かれています。認知拡大のための「広報」、リード獲得および案件創出をする「集客」、そして実際に販売する「営業」の3つの役割です。これらの役割をネットde診断をはじめとする複数の事業を横断して効率的に運用しています。
大倉:UI/UXチームは現在2名で構成されています。私自身はグラフィックデザインが専門ですが、人員不足のため、UI/UXの分野もカバーしています。チームのミッションは素晴らしいプロダクトを作ることですが、正直なところ、人手不足のため思うように動けていない部分もあります。
理想的には、UXに特化した専門家を加えて、より詳細な分析や調査に基づいてUIを設計したいと考えています。現状では限られたリソースの中で、互いに協力し学びながら進めている状況です。
◾️未来のNo.1プロダクトを共に作る!「ネットde診断」のメンバー募集
寺村:先程人手不足の話がありましたが、せっかくの場なのでこういう方と働きたいなどの募集要項についても話しましょうか(笑)
寺村:どのチームも人手が足りないと思いますが、どういう人に来てほしいか、一言ずつ教えてもらえますか? 大西さん、どうですか?
大西:そうですね。開発チームとしては、やる気のある人が来てほしいです。私たちと同じくらいの熱量で仕事を進められる人ですね。
寺村:具体的にはどういう人ですか?
大西:やる気さえあれば、サポートは全力でします。中途で入社して来た方やセキュリティに詳しくない人も一緒に学びながらやってきました。なので、やる気さえあれば大丈夫です。
寺村:了解です。私たちはASMや脆弱性診断内製化の分野でNo.1を目指しています。まずは最高の価値をお求めやすい価格でお客様に提供して、結果としてNo.1になる。そこに対してやる気を出せる人が重要ですね。
大西:そうですね、やる気が一番大事です。皆さんもう既にやる気がすごいので、その熱量に驚いています。
寺村:市川さん、どうですか?
市川:大西さんと同意見です。大西さんと近くて、私たちが開発しているのは非常にチャレンジングなプロダクトです。そのため、サイバーセキュリティやコンピュータサイエンスについて学び続ける意欲のある方がよいな、と思っています。
寺村:坂本さん、営業やマーケティングチームはどうでしょう?
坂本:そうですね。アライアンスや代理店との連携に強みをもつ人財が欲しいです。直販体制の強化は直近の採用で進みましたが、今後の事業拡大に向けて、代理店販売網の構築・強化は重要な課題です。代理店向けの営業戦略や販売促進計画の策定、カリキュラム作成などを主導できる人材がいれば心強いですね。
寺村:UI/UXチームについてはどうですか?
大倉:2人います。1人目はUXに特化した人が欲しいです。UXはプロダクトの初めから終わりまで関わる重要な役割で、専門知識が必要です。もう一人はフロントエンドのデザインの再現性が高い人に来て欲しいです。そこがお客様との最終的なタッチポイントになる部分なので、デザインを意図通りに再現できる人が必要です。
寺村:私はデザイナーの分野には詳しくないのですが、そういう人たちにイエラエを魅力に思ってもらうためにはどうしたらいいですか?
大倉:まずは素晴らしいプロダクトを一つ作ることだと思います。そのプロダクトを見て興味を持ってもらい、強化したいと思ってくれる人を引き入れることが大事だと思います。
寺村:なるほど。ネットde診断のUI/UXはまだまだ発展途上ではあるけれど、それを見て「この会社のプロダクトは良いUI/UXをしているな」と興味を持ってもらえればいいですね。
大倉:そうですね。やはり、我々のプロジェクトに共感してくれる人が一番です。ちゃんと共感して、「こういうものを作りたい」という思いを持ってくれる人を探しています。
寺村:本気でNo.1プロダクトを目指していますので、その意気込みに共感してもらえる人が入ってくれるといいですね。
坂本:そうですよね。No.1プロダクトのデザインをしたい人が集まってくれたら嬉しいですね。
寺村:未来のNo.1プロダクトを共に作り上げるやる気をもった方々、ご応募よろしくお願いいたします!
社会インフラwithイエラエを目指す!各チームのビジョンと今後の目標
寺村:最後に、これからのネットde診断について、各チームのビジョンや目標をお聞かせください。大西さんからお願いできますか?
大西:たくさんの人に使っていただけるプロダクトであり続けることです。開発者の価値は、プログラムを書く時間ではなく、そのプログラムが実際に使われる時間にあると考えています。お客様に使っていただき、かつ「使ってよかった」と思ってもらえるプロダクトを常に意識して開発を続けていきたいと思います。
寺村:ありがとうございます。市川さん、お願いします。
市川:最終的な目標としては、脆弱性診断を行う人の仕事の80%を自動化することを目指しています。その日、そこでしか生まれないバグなどもあるため100%の自動化は難しいですが、大半の作業は本当に自動化できると考えています。そのためには、脆弱性診断の精度を上げ続ける必要があります。イエラエは自社で脆弱性診断組織を持っているので、そこからのフィードバックを受けながらプロダクトを成長させていけると確信しています。将来的には、脆弱性診断をする人は、全員がまず初めに「ネットde診断 for Webアプリ」を使用するような。そういうプロダクトでありたいです。
寺村:素晴らしいですね。可能だと思います。次に大倉さんお願いします。
大倉:UI/UXチームとしては、セキュリティ製品の枠を超えて、一般的なプロダクトの中でもトップクラスのUI/UXを目指しています。そのために、様々な調査や自らがヘビーユーザーとなって課題を見つけ、一つずつステップを踏んで改善していきたいと考えています。
最近、私自身の考え方にも変化があり、各チームの意見、特に顧客の声を重視するようになりました。本質的に重要なことを見極め、それに基づいてUI/UXを機能させることに注力していきたいと思います。
寺村:素晴らしい考えですね。そのような考えをもつUI/UXチームだからこそ、このやる気のある開発チームと意見をかわしながら、仕事を進められるのだと思います。最後に坂本さん、お願いします。
坂本:マーケティングの観点からは、短期的と長期的な二つのビジョンがあります。短期的には、初めての人でも自走で運用サイクルを回すことができ、継続的に活用できるプロダクトにすることを目指しています。脆弱性管理はなかなか難しく、例えば「どのドメインや脆弱性から対策すべきか優先度を決められない」など運用する上でいくつかの課題があり、サポートが必要な部分がありますが、そこをプロダクトの力でお客様が自走できるレベルまで改善していきたいと考えています。
長期的には、ネットde診断を社会インフラの一部にすることを目標としています。現在は大手企業やセキュリティリテラシーの高い組織がお客様となることが多いですが、将来的には日本中、さらには世界中で当たり前に使われるツールになることを目指しています。
寺村:そうですね。例えば、今私たちは、ドメインというインターネット上のインフラ基盤の一つで非常に高いシェアを持つGMOインターネットグループと一緒に、今まで脆弱性診断など名前も知らなかったという中小企業や個人の方にも、ネットde診断を活用することで、幅広く脆弱性診断をお届けし、セキュリティの重要性を知ってもらえないか、という取り組みを支援しています。
これらの活動は、長い目で見ると、日本全体のセキュリティレベルを向上することにつながると思っています。
このように社会インフラのような幅広い方が使ってくださってるシステムに、GMOイエラエがネットde診断などのセキュリティを添えるような「社会インフラwithイエラエ」として、さまざまな場所で私たちの技術が使われるようになってほしいですね。
大きな裁量と挑戦の機会!「ネットde診断」開発チームからの呼びかけ
寺村:皆さんから最後に何か伝えたいことはありますか?
市川:少し補足ですが、開発組織としてのイエラエはまだ未熟な部分があります。元々、プロダクトを作る会社ではなかったので、開発面での成熟度はこれから成長していく段階です。しかし、GMOインターネットグループのご支援のおかげもあり、非常にたくさんのユーザにプロダクトをご利用いただけている環境にあります。このようなたくさんのユーザにご利用いただいているプロダクトをより良くすることにモチベーションが感じられる方には最適な環境だと思いまベンチャーのような新しい挑戦がしたいけれど、リスクは少なくしたいという人には特に適していると思います。
寺村:確かに。これだけのお客様にサービス提供しているプロダクトに携わるというのは大きなやりがいになりますね。
市川:そうですね。普通は、一人一人の裁量が大きい立ち上げ期のタイミングでは、ユーザを獲得することが大変であり、逆にユーザ数が多いプロダクトでは一人一人の役割がある程度定まっていることが多いと思います。ここでは豊富なユーザー基盤がありながらも大きな裁量を持って取り組むことができます。これは日本中、世界中探してもなかなかない環境です。
寺村:確かにそれは魅力的ですね。そういった点に魅力を感じる人に来て欲しいですね。
大西:開発者としては本当に何でもできる環境です。様々なタスクがあるので、挑戦の機会が豊富にあります。
坂本:実際、昨年のIERAEDAYSで学生さんにもこの話をしたところ、イエラエというベンチャー的な要素と、GMOインターネットグループという安定した基盤の両面を持ち合わせている部分に魅力を感じたという反応がありました。
寺村:なるほど、ありがとうございます。これからの採用面接ではその点をアピールしていくようにしましょう(笑)大きな裁量と挑戦の機会、そしてGMOインターネットグループという安定した基盤。これらの要素は確かに魅力的だと思います。
寺村:以上でインタビューを終了したいと思います。皆様、貴重なお時間をいただき、ありがとうございました。
全員:ありがとうございました。
