株式会社ユービーセキュア
プロダクト事業本部長
橋本 淳
株式会社ユービーセキュア プロダクト事業本部長 橋本 淳氏

管理しきれないWebサイトはリスクの温床DXに向けて不可欠な脆弱性診断を支援

「『弱いところが狙われる』。脆弱性対策ではこの視点が不可欠です」
顧客接点としてデジタルチャネルの重要性が増す中、そこがサイバー攻撃者の狙い目になっている。製品の販売やプロモーションに使われるWebサイトは増加の一途をたどっており、もはや企業が管理しきれなくなっているからだ。これらのWebサイトの脆弱性を可視化するとともに、ビジネスを守る手立てを顧客伴走型で提供するのがユービーセキュアである。

管理しきれないWebサイトはリスクの温床DXに向けて不可欠な脆弱性診断を支援

株式会社ユービーセキュア プロダクト事業本部長 橋本 淳氏
株式会社ユービーセキュア
プロダクト事業本部長
橋本 淳
顧客接点としてデジタルチャネルの重要性が増す中、そこがサイバー攻撃者の狙い目になっている。製品の販売やプロモーションに使われるWebサイトは増加の一途をたどっており、もはや企業が管理しきれなくなっているからだ。これらのWebサイトの脆弱性を可視化するとともに、ビジネスを守る手立てを顧客伴走型で提供するのがユービーセキュアである。

管理しきれないWebサイトが
攻撃者にとって格好の標的に

株式会社ROIT 代表取締役 橋本 淳氏
桔梗原
 DXの推進に伴い、WebサイトやWebアプリケーションの利用が加速しています。一方で、それらの脆弱性を悪用したサイバー攻撃が深刻な影響をもたらすインシデントが増えています。このような現状に、企業・組織はどう対処すべきでしょうか。

橋本
 脆弱性対策についてはこれまで、主にビジネスの要となる重要サイトに対して実施することが一般的でした。高リスクなWebサイトは、コストをかけてでも診断サービスなどを活用して守るという考え方です。

 一方、現在は顧客接点の“中心地”がWebに移行しています。日々、膨大なWebサイトがつくられる中で、一時的に立ち上げたキャンペーンサイトなど、それほど重要ではないWebサイトでは脆弱性診断がおざなりにされてきました。結果、それらのWebサイトは存在すら忘れられた状態で大量に積み上がっています。今、このような放置されたIT資産が、攻撃者にとって格好の狙い目になっています。ここを踏み台として、組織内の重要情報にアクセスしようとするのです。

桔梗原
 Webサイトの存在を把握できていなければ、脅威の侵入に気付くことは難しそうです。

橋本
 おっしゃる通りです。実際、情報漏洩などのインシデントが起こり、再発防止のために網羅的な脆弱性診断を行ったところ、大量の、しかもクリティカルで直接的に情報漏洩につながる脆弱性が検出されたという事例は少なくありません。

お手軽な自動診断SaaSと
プロ品質の診断ツールを展開

桔梗原
 とはいえ、重要度の高くないWebサイトに対して、多額のセキュリティー投資をすることは難しいと思います。このジレンマはどうすれば解消できるのですか。

橋本
 そこで当社が提供しているのが、「Vex」と「VexCloud」という2つの脆弱性診断支援ツールです(図)。
2つの脆弱性診断ツールを提供
2つの脆弱性診断ツールを提供
手軽に利用できる自動診断SaaS「VexCloud」、プロ品質の「Vex」という2種類の脆弱性診断支援ツールを提供する。両方のツールを適材適所で使い分けることがポイントだ
日経BP 総合研究所 フェロー 桔梗原 富夫
聞き手
日経BP 総合研究所
フェロー
桔梗原 富夫
 当社は2007年の会社設立時からWebアプリケーション診断やプラットフォーム診断などのサービスを提供してきました。この過程で培ってきた実績や知見を体系化して注ぎ込んだのがVexシリーズです。それまで脆弱性診断サービスといえば外資系の製品が中心でした。私たちは、独自開発の純国産ツールによって、日本のお客様にとって脆弱性診断をより「楽」で「気軽」に行えるものにしたいと考えています。

桔梗原
 それぞれのツールの特徴を教えてください。

橋本
 まずVexCloudは“お手軽自動診断SaaS”です。いくつかのパラメーターを設定するだけで、大量のWebサイトに対して簡単・省コストで脆弱性診断を行うことができます。これまで手が届いていなかった重要性の低いWebサイトに対しても、網羅的に脆弱性診断を実行することが可能です。

 もう1つのVexはプロクオリティーの脆弱性診断を強みとしています。各部門のWebサイトに対し、全社統一のポリシーに基づく厳格な脆弱性診断を実施したいと考える大手企業のほか、脆弱性診断サービスを提供するソリューションベンダー、Webアプリケーション開発企業などにも利用いただいています。

 ポイントは、サイトの内容や重要度に応じて2つを適材適所で使い分けることです。ユービーセキュアは、そのための活用方法を含めた提案を行っています。

桔梗原
 祖業である脆弱性診断サービスと、この2つのツールを組み合わせることで、顧客企業により大きな価値を提供できるわけですね。

橋本
 その通りです。加えて、現在はセキュリティーコンサルティングサービスにも力を入れています。

 対策方針の策定から支援する「セキュリティ対策実行支援」、FISC安全対策基準やサイバーセキュリティ経営ガイドライン、PCI DSSなどへの準拠をサポートする「ガイドライン対応支援」、専門家の視点で現状を評価する「セキュリティアセスメント支援」など、多様なメニューを用意しています。これらを含めて、セキュリティー対策の内製化にチャレンジするお客様の取り組みを伴走型で支援できる点は当社の強みです。

経営者として説明責任を果たせる
セキュリティー対策を考えるべき

桔梗原
 DXを成功させるためには、サイバーセキュリティーの取り組みを同時に推進する「DX with Cybersecurity」が不可欠です。もはやセキュリティー対策は経営課題であり、経営者はその意識を強く持つべきだと思います。

株式会社ユービーセキュア プロダクト事業本部長 橋本 淳氏
橋本
 全く同感です。セキュリティー対策を怠ったことで、DXに失敗するケースも起きています。しかし日本企業では、まだまだ取り組みが遅れていると感じます。

桔梗原
 どうすれば経営層の意識を変えることができるでしょうか。

橋本
 インシデントが起こってしまった場合と予防できた場合のコストを試算して、どのくらい差が出るかを可視化することは1つの方法だと思います。また、インシデント発生によるレピュテーションリスクを認識いただくことも、非常に重要です。これらを踏まえて、企業経営者は、高まるセキュリティーリスクに対して自社がどんな対応や備えを行っているのか、明確な説明責任を果たせる状況をつくっておくことが肝心です。

桔梗原
 セキュリティー対策はコストではなく、投資だということですね。

橋本
 その通りです。冒頭でお話しした管理しきれないWebサイトを適切に可視化し、状況を把握することは、これからの時代のセキュリティー対策における重要な投資領域の1つとなります。脆弱性診断をしっかり行っておくことで、説明責任を果たすための情報を得ることができるからです。

 もちろん、その取り組みを自社のリソースだけで進めることは簡単ではありません。そこで、ぜひ当社のようなパートナーを有効に使っていただきたいと思います。脆弱性診断サービス、VexやVexCloudを中心とした支援ツール、上流工程からのコンサルティングサービスといったソリューションを三位一体で提供することで、DX with Cybersecurityに挑戦するお客様を、全力で支援していきます。
株式会社ユービーセキュア プロダクト事業本部長 橋本 淳氏 日経BP 総合研究所 フェロー 桔梗原 富夫
関連リンク
お問い合わせ
株式会社ユービーセキュア URL:https://www.ubsecure.jp/
お問い合わせフォーム:https://www.ubsecure.jp/inquiry
PAGETOP