ALHの新たなチャレンジ!脆弱性診断サービス「Re:Cypher」(リサイファー)始動!

2019.7.31 キョウソウ

オープニング
皆さん、こんにちは。ALH株式会社の高木です!
皆さん、”脆弱性診断”というお仕事をご存知ですか?
簡単に説明するとシステムやアプリケーションなどに対するお医者さんです。
患者さん(システムやアプリケーション)に対し、診断(ハッキング)を行い、病気(セキュリティホール)がないかチェックします。そして、その診断結果をカルテでお知らせするお仕事です。
今回、ALH株式会社はITサービス提供者が抱える「自社サービスに対するセキュリティホール潜在の不安」を解消すべく、2019年8月に脆弱性診断サービス「Re:Cypher」(リサイファー)をリリースします!

「Re:Cypher」が生まれた背景

現在、セキュリティ市場における脆弱性診断の課題として大きく下記の3つが存在すると考えています。
【課題1】品質が安定しない(診断員が変わると診断結果も変わってしまう)
【課題2】網羅性の懸念(診断内容がブラックボックスであり、網羅的に診断が行われているのか不明・不安)
【課題3】融通が利かない(診断を依頼してから数カ月も待たされることがある)

そこで上記3つの課題を解決すべく、下記の仕組みを確立しました。
【解決策1】国際基準(ASVS)の観点に従い、診断方法を標準化。これにより診断員による診断結果のブレを解消
【解決策2】お客様に対し、診断項目・診断項目数の事前共有(網羅性のホワイトボックス化を実現)
【解決策3】「常時稼働可能な人材のプール」×「標準化された診断方法」により「即診断×短期納品」を実現

また、現在、世界規模で問題視されているセキュリティエンジニアの不足を解決するためにも属人的な診断ではなく、仕組み化された診断が重要と考えました。そして、この人材不足を人材で補うのではなく、仕組みで補うことにより生産性の向上、及び低コスト(業界標準の6~7割程度)でのサービス提供も実現しました。

※ASVS (Application Security Verification Standard) :アプリケーションが満たすべき国際的なセキュリティ(脆弱性)診断水準

「Re:Cypher」の由来

「Cypher」には”ゼロ”、”無”、”暗号”という意味があり、接頭辞の「Re」には”何度でも”という意味があります。この2つのキーワードを組み合わせることにより「何度でもゼロにする」、つまり「何度でもセキュリティホールをゼロにする」という想いを込めてサービス名を「Re:Cypher」(リサイファー)としました。また、ALHでは音楽にちなんだネーミングが多く存在しますが、「Cypher」には”複数人が輪になって即興でラップをする”という意味もあり、「お客様の依頼に対し、当社ホワイトハッカーが即座に対応する」という想いも込めています。

今後の展望

Society5.0の実現により、今後、様々な「モノ」が繋がる時代となります。そして「モノ」が繋がることによりこれまで想定していなかった脅威が出現するなど、セキュリティ対策がこれまで以上に複雑化することは確実です。ALH株式会社はこの複雑化した脅威をいち早く察知し、その検知方法を即座にサービスに取り入れます。

ユーザーの安全を守ることはもちろん、ITサービス提供者が抱えるセキュリティホール潜在の不安を取り除くべくALH株式会社は進化し続けます!

高木敏行
ALH株式会社 Quality Design Scale Unit(通称:QSU)& Voice of Employee(通称:VOE)所属。

元エンジニアで、現在は”品質をデザインするユニット(QSU)”と”社員の声を聞き、組織を改善するユニット(VOE)”を兼任。
今回は「品質をデザインする」の一環としてセキュリティに着目し、「Re:Cypher」をリリース。
現在はAI、IoTに着目し、何か面白いことができないかワクワクしている。