2019年10月31日、田町にて約80名のユーザー企業様、パートナー企業様をお迎えし、「第1回 Vexユーザーカンファレンス」を開催しました。
VexとはNRIセキュアテクロジーズ株式会社のグループ会社である株式会社ユービーセキュア(以下、当社)が展開する、「国内シェアNo.1のセキュリティ脆弱性検査・診断ツール」です。
当社念願の、初めてのユーザーカンファレンス開催で、メーカーとしてVexの今をお伝えし、また、3社のユーザー様からリアルな利用実態をご紹介いただきました! 当社のVexを作っている開発者と、Vexを使っているコンサルタントも総出でユーザーのみなさまと触れ合い、改めてみなさまからの期待の高さを感じることができました。そんな第1回カンファレンスの開催レポートをお届けします。
Vexユーザーカンファレンス開催にかける想い
私は営業という立場柄、ユーザーのみなさまとお話することが多いのですが、実は、今回のカンファレンスを開催しようとしたきっかけは、あるユーザー様からの声でした。
ほかの企業はVexをどのように使っているか、どのような運用をしているか、ユーザー同士で話せる機会がほしい。
セキュリティに関わる運用や具体的な施策は、公開されているケースが少ないです。
Vexの「コミュニティ」をつくり、ユーザー同士の交流の場所をつくることで、Vexの利用方法における工夫や、課題と課題への対応方法、また、独自にカスタマイズしている検査シグネチャを互いに共有させることできたら、Vexの価値がますます向上し、ユーザーにも価値を還元できると考えています。
国内シェアNo.1のVexだからこそ、これをやらなければならない、とも考えます。
当社のスローガンは「セキュリティを楽に。人生を楽しく。」です。この言葉を実現していくために、ユーザーカンファレンスをひとつのきっかけにしたいという想いを持って、このたび開催しました。
Vexの今後とユーザー利用事例紹介
カンファレンス当日はセキュリティベンダー様、社内セキュリティご担当様、販売パートナー様、内製化を検討しているご担当者様、などなど、80名近い方々にご参加いただきました。
カンファレンスは「ユービーセキュアからの情報提供」、「ユーザー様の利用事例紹介」、「懇親会」の3部構成としました。
3部の様子をそれぞれ詳しくご紹介します。
「より高度に」「より簡単に」、ツールが目指す未来
第1部ではVexの品質管理や2019年9月にメジャーバージョンアップした新機能、さらにスキル認定制度についてご紹介しました。
冒頭の挨拶は、当社代表取締役社長の観堂より、今回の開催にあたる想いから当社のアップデート情報についてご紹介。最近では、Vexブランドロゴの刷新や公式イメージキャラクターの制作などのブランディング活動や、産学連携によるセキュリティ技術者育成への支援など、さまざまなチャレンジをしています!
写真. カンファレンスで配布したノベルティ
Vexの公式イメージキャラクター スミレちゃんのうちわや、Vexロゴの入った金太郎あめ
Vexを開発・販売して12年目、そのニーズはセキュリティ専門の担当者によるセキュリティ診断だけでなく、開発者自身が開発段階で検査するいわゆる“シフトレフト”の考えに沿った利用にまで広がってきました。そうした中で私たちは、Vexの検出脆弱性カバレッジや検査効率の向上だけでなく、誰でも検査ができるよう利便性の向上といった二軸での開発方針を掲げています。
「より高度に」「より簡単に」、その実現へ向けて今後もツールの成長へと尽力していきます。
また、2019年8月にリリースしたUBsecure Certificationについてもご紹介しました。
UBsecure Certificationはサイバーセキュリティの実践的なスキル認定制度であることを目指し、順次拡張していく予定の認定資格です。
第一弾としてVexを活用したWebアプリケーション脆弱性診断の実務スキルを証明する「Vex Certification」のEntryレベルの提供を開始しています。
倫理的でかつ実務能力のあるセキュリティエンジニアの育成は、Vexを開発しているメーカーとしての義務でもあると考えており、認定されたVexユーザーの裾野拡大を通じて、安全・安心なデジタル社会の発展に貢献したいと考えております。
この記事を見ていただいている方は、この機会にぜひ受けてみてください!
導入形態別に見るユーザー利用事例
ユーザー事例の部では、3社のユーザー企業のみなさまに登壇いただくことになりました。今回のカンファレンスの目玉とも言えるセッションです。来場者のみなさまも真剣な眼差しを向け、姿勢もぐいっと前のめりに。開催者側の我々もとても楽しませていただきました。
3社に共通して言えることは、セキュリティに関する課題に対する解決策のひとつとしてVexの導入という選択肢をとり、また、Vexのできること・できないことを良く理解されたうえで運用方針を決め、全社の取り組みとされているということです。
Vexは導入形態をみたときに、主に下記の4タイプに分類されます。
図. Vexの導入形態タイプ
① 社外オーディタータイプ
セキュリティベンダー様や、これからセキュリティ事業を外部に向けて展開しようとされるお客様が脆弱性診断サービス提供のためにご購入いただくタイプです。セキュリティベンダーのみなさまは当社にとっての重要な顧客層の一つで、販売代理店様でもあり、一緒にVexをエンドユーザーに提供するパートナーでもあります。
② 社内オーディタータイプ
脆弱性診断を内製化する中で、社内に脆弱性診断の専任チームを組織し、専任チームが自社の複数のシステムに対して診断を実施してゆくタイプです。ノウハウがチームに蓄積されてゆき、専門性が高まります。
③ 社内基盤提供タイプ
社内基盤としてVexライセンスを一括購入し、Vexサーバを立ててアカウントを開発現場に引き渡したり、VexをインストールしたノートPCを貸し出したりといった運用を構築されるタイプです。実際にVexを実行するのは開発現場の開発担当者となります。開発現場が自身で脆弱性診断を実施しますので、直ぐに修正に移ることができるメリットがあります。
④ 事業部門独立タイプ
全社導入の前の段階で、部門個別で活用いただけているタイプ、となります。
数年前は②社内オーディタータイプの利用が比較的多かったですが、ここ数年は③社内基盤提供タイプが増えてきています。④事業部門独立タイプから始まり、他部門に横展開される中で③に集約していこうというお話も多いです。
背景としてはリリースの頻度や開発スピードがあがってきていることと、対象のシステムが膨大な数になってきていることから、社内オーディタータイプでは回しきれない、という事情と、開発とセキュリティを近い場所で、というシフトレフトの考え方の浸透があるのではないかと感じています。中にはクラウド統合開発基盤(開発コックピット、開発インフラ、等の呼び方)を構築し、その中にセキュリティもビルドインして環境ごとグループに提供したい、というお話を頂くこともございます。
さて、ユーザー事例紹介では、それぞれの導入タイプから次のようなお話を聞けました。
- A社:②社内オーディタータイプで運用
- 診断を担当するメンバーが診断に専念できる環境を整え、ノウハウ共有の仕組みづくりにも力をいれることで、限られた人数でも年間多くのシステムを診断できる運用を確立
- B社・C社:③社内基盤提供タイプで運用
- 開発者へVexやVexトレーニングを提供し、開発者が無理なく一定の品質を保って検査ができる環境をつくることで、セキュリティ品質の向上へと繋げる
年々、高まっている脆弱性診断の内製化ニーズ。その背景には、開発サイクルが早まり、すべての診断を外部委託することが難しくなっている現実があります。一方で、Web技術の進化によって、診断をする上でツールに求められる要求水準も高まっていると感じます(シングルページアプリケーション、API対応等)。だからこそ、私たちは「より高度に」「より簡単に」を追求し、Webアプリケーション診断におけるVexの貢献性をより高めていきたいと考えています。
ツールがすべてではない、けれど、ツールがあるからこそできる。
今回3社のユーザーさまのお話を聞いて、皆さまのチャレンジとともに選ばれたツールがVexであることをとても嬉しく思いました。
懇親会
真面目な話をしたあとは、楽しく懇親会もやりましょう! ということで、
ご参加いただいたのはおおよそ50名。最初は少し硬い雰囲気でしたが、乾杯の合図とともに徐々に会場が和やかになりました。
写真. 懇親会の様子
あちらこちらで見られる、ユーザー様同士の情報交換やユービーセキュア社員とのディスカッション。笑い声も絶えず聞こえ終始穏やかな雰囲気です。会の終盤では、当日参加者の皆様からいただいたVexに対する要望を発表するVex総選挙のイベントもありました。
写真. 後半の懇親会の目玉企画、Vex総選挙のコーナー
カンファレンス後に寄せられたアンケート
カンファレンス後にご参加いただいた皆様にアンケートにご協力いただきました。
その一部をご紹介します。
- 他のユーザー企業が同じ取り組みを行っていることがわかり、自社の取り組みが間違えていないことを確認できた。
- 会社の取り組み方の違いもありますが、他社事例が大変参考になりました。
弊社は未だ1システムのみしか使っていないため、社内展開を含め、Vexの理解を深めていきたいと思います。 - 開発ロードマップの紹介中、DevSecOpsのスライドで参加者の顔が一斉にあがった(カメラを向ける人も多数)ところが印象的。想定以上にユーザーからの関心が高そうで、今後の製品連携に期待したい。
- 他社の事例を聞ける機会はこれまで無かったので、とても有意義な時間でした。終わった後に、弊社メンバー内で自然と「次回も参加したいね。」と声が漏れるほど、楽しいひと時でした。催し物や懇親会もしっかり楽しませて頂きました。
- Vexに関する資格のお話しや、ユーザー様の生々しいお話を拝聴できたことが非常に満足できました。また、懇親会ではUBセキュア様の開発部隊の方やVexを診断で使われている声も聴けたので非常に有意義なカンファレンスでした。
その他にも利便性の向上、外部ツールとの連携、海外へのさらなる挑戦、スミレの活躍など…。Vexのこれからを期待したお言葉をたくさんお寄せいただきました。
みなさま、貴重なご意見、ありがとうございました。
おわりに
こうして第一回目となるVexユーザーカンファレンスは無事終了いたしました。今回のカンファレンスを通して一番多くいただいたお声が、「ユーザー事例を聞けてよかった」ということです。それは、当初、私たちがカンファレンスを開催する最大の目的としていたことです。
Vexはお客様が自社のセキュリティを守るための業務に寄り添っていく製品です。だからこそ、製品としての品質を保ち、より精度を向上し、より使いやすいかたちにしていく必要があると私たちは感じています。これからもユーザーの皆様からの声を大切にし、ツールのさらなる挑戦と成長に繋げていきたいと思います。
最後に、今回のVexユーザーカンファレンスにおきまして、ご参加いただきましたみなさま、本当にありがとうございました。また、ユーザー事例にてご協力いただいた3社のユーザーさまには、お忙しい中ご登壇を快諾いただきましたこと心より御礼申し上げます。
第2回もどうぞお楽しみに!