株式会社エーアイセキュリティラボは4月18日、脆弱性診断の自動化ツール「AeyeScan」を基盤として、新たに「診断マネジメントプラットフォーム」を提供すると発表した。
デロイトと JFEスチール、サイバーセキュリティの合弁会社設立
「AeyeScan」は、AIとRPA(Robotic Process Automation)を活用したSaaS型Webアプリケーション脆弱性診断ツールで、Webを自動巡回する精度の高さの評価が高い。
「AeyeScan」が新たに提供する「診断マネジメントプラットフォーム」は、脆弱性診断における診断計画から対策見直しまでのプロセス管理を行うプラットフォームで、対策状況を分析したうえで計画の見直しを図るというPDCAのActionまで考慮し設計している。
1. 診断対象Webサイトの棚卸や把握など、一元管理の実施
2. Webサイトのリスク状況に応じた診断計画の策定
3. 診断実施状況や、改修進捗の可視化・把握
4. 診断計画の見直しと改善
同社では「診断マネジメントプラットフォーム」を通じて、情報セキュリティ担当者と経営層のコミュニケーションを推進し、脆弱性診断のROI最適化を支援するという。
たとえばWebサイトAに多数の脆弱性が検出された場合、リリース後にもしばらく脆弱性が残留している状態になっている可能性が高いため、翌年は診断の頻度をあげるための予算確保を検討したり、反対にサイトBが年間を通してリリースがほとんどなくかつ脆弱性もほとんど検出されない場合、改修や追加があった範囲だけを年一回の診断に変えて予算を削減するなど、少なくない企業で「習慣的に期末に毎年同じことをくりかえし行う年中行事」となって形骸化している脆弱性診断の見直しを図ることができるという。
エーアイセキュリティラボ 取締役 角田茜氏は本誌の取材に対し「経営層に対して自社のセキュリティ対策状況を可視化し、ROIを意識することでセキュリティ担当者の視点が変わることで、セキュリティ診断というサービスへの積極的な見直しが行われることで業界全体の向上を図っていきたい」とコメントを寄せている。
