いま、多くの企業がデジタル技術を活用してビジネスの変革に取り組んでいる。そこで重視されるのは「スピード」だ。いち早くサービスをリリースし、利用者の反応を見ながら改善していく。「Fail Fast（フェイルファースト）」のかけ声のもと、失敗を恐れず新しいことにチャレンジする企業が増えている。

しかし、ことセキュリティに関しては、1回の失敗がすべてを台無しにすることもある。本当にそれでも「ウチは大丈夫」「ウチは関係ない」と耳をふさいでいられるだろうか。

たとえば現在、事業部門が主体となって、Webサービスやモバイルアプリを開発・運用している企業が増えている。部門によって開発パートナーが異なることも珍しくない中、一貫したセキュリティを担保することはできているだろうか。また、現在のWebサービスやモバイルアプリは、APIでほかのシステムとバックグラウンドで連携している。その連携部分のセキュリティは、誰が保証するのだろうか。

こうした状況を冷静に見渡せば、情報漏えい事故を他人事といえる企業はほとんどないはずだ。2020年には東京オリンピック・パラリンピック、2025年には大阪万博を控え、それに応じてサイバー攻撃も増加すると言われる。ではこの厳しい状況に、企業はどう対処すればよいのだろうか。

利用するメニューが決まったら、検査ツールとセキュリティアナリストによるマニュアル検査が行われる。検査が終了するとアナリストによる分析が行われ、約2週間後に診断結果の報告会が実施される。報告会には分析を担当したセキュリティアナリスト自身が参加し、詳細な報告書を元に説明が行われる。

『EINS/SVA』の活用方法はさまざまだ。Webサービスやモバイルアプリのリリース前にポイントソリューションとして利用されるケースが多いが、より総合的に活用する企業も増えているという。

「たとえば、あるお客さまは複数のWebサービスを開発・運用されていますが、担当部門がバラバラでした。そのためセキュリティの基準もバラバラで、安全性に不安を感じられていました。そこで会社全体として『EINS/SVA』を採用し、すべてのWebサービスのセキュリティを同じ基準で定期的に診断する仕組みを構築されました」（竹松氏）

企業の事業部門が複数のWebサービスやモバイルアプリを開発・運用することは、今後も増えるだろう。それに伴って、こうしたケースも増えてくると予想される。

一貫したセキュリティポリシーを適用するという観点で、『EINS/SVA』を開発工程に組み込む事例もあるという。

「脆弱性診断は、開発の最終工程で実施するのが一般的です。そうではなく、『EINS/SVA』をあらかじめ開発工程に組み込むことで、より効率的かつスピーディに診断するアプローチをとっているお客さまもいらっしゃいます」（小山内氏）

また、稼働中のサービスに対して脆弱性診断を行った結果、極めて重大な問題が発見された事例もあるという。

「その事例では、最終的に修正は不可能だと判断され、サービスそのものをクローズすることになりました。残念な結果ではありましたが、もしもそのままサービスを継続していたら、大変な事故につながっていた可能性もあります。それを考えると、事前に防ぐことができた意味は大きかったと思います」（小山内氏）

『EINS/SVA』のもう1つの特長が、診断後の対応が充実していることだ。インテックは、独立系のシステムインテグレーター（SIer）として長い歴史と豊富な実績を持っている。それは、発見された脆弱性に対し、さまざまな解決方法を提案できることを意味する。

「お客さまとの会話から状況や課題を把握してソリューションを提案することは、我々がSIerとしてずっと培ってきたことです。オンプレミスやクラウドハイブリッド環境まで、お客さまのシステムを把握・構築するのは得意分野です。単に脆弱性そのものへの対策だけでなく、その周辺を含めた総合的な解決方法を提案できるのがインテックの強みです」（小山内氏）

インテックは社内ネットワークの入り口対策や情報漏えい対策はもちろん、システムを論理分割するインターネット分離ソリューションやログ監視、マルウェア対策など、ユーザーの課題に合わせてさまざまな選択肢を用意しているという。

いくらビジネスにスピードが必要とされても、「セキュリティ」をおろそかにすることは許されない。社内で利用できるリソースが限られているなら、ぜひ外部のセキュリティサービスをうまく活用してほしい。インテックの『EINS/SVA』は、まず選択肢に入れたい。