[新製品・サービス]

2018年6月6日(水)日川 佳三（IT Leaders編集部）

リスト

写真1：セキュリティ分野の製品・サービスについて説明する、デジタルハーツのエンタープライズ事業本部セキュリティ事業部部長の岡田卓也氏
拡大画像表示

　「クラウドソーシング脆弱性検査サービス」は、米シナック（Synack）が提供しているサービスである。ユーザー企業のWebサイト（Webアプリケーション）が抱える脆弱性を、サイバー攻撃技術に長けたエンジニアが、リモートアクセスによってあぶり出す仕組み。攻撃を仕掛けるエンジニアを1000人抱えており、サービスでは数十人から数百人のエンジニアが同時に検査をかける。

　従来の脆弱性検査サービスの問題点は、脆弱性を検査するエンジニアが圧倒的に足りていないことだという。1件の検査案件に携われるエンジニアは、1人から2人程度と少ない。このため、サービスを申し込んでも日程調整に時間がかかってしまう。検査内容には網羅性がなく、脆弱性が見つかりにくいという。さらに、検査結果に関わらず、検査費用はエンジニアの作業時間で決まる。

図1：従来の脆弱性検査サービスの問題点と、デジタルハーツが理想として掲げる脆弱性検査サービスの概要（出典：デジタルハーツ）
拡大画像表示

数百人の攻撃者が一気に検査、案件によらず固定費用で利用可能

　こうした課題を、米Synackの脆弱性検査サービスは解決しているという。数百人のエンジニアが一気に検査するほか、検査費用は作業工数によらず、案件単位の固定額（米国では5万ドル、日本では税別で700万円）で提供する。固定額で、Webシステム一式（フロントエンドのWeb画面から、バックエンドのデータベース管理システムなどを含んだシステム一式）を検査できる。

　多数の攻撃者に攻撃させるという手法の成功例の1つが、アメリカ国防総省が2016年に実施した報奨金制度による脆弱性発見プログラムである。1400人のサイバー攻撃者が参加し、3週間で138個の脆弱性を発見した。従来の脆弱性検査コストと比較してコストを約7分の1に削減できたという。この事例では米Synackが大きく活躍したとしている。