• 社名 印刷系SIer企業
  • 業界名 印刷
  • サービス
  • システム ERPパッケージ/基幹システム
  • 人月規模 9
  • 対応範囲
  • チーム

    マネージャ: ファン ティ キウ ディエム(Phạm Thị Kiều Diễm)
    PM: グェン ヴィエット チー(Nguyễn Hữu Trí)
    メンバー: Software Engineer(5), Senior Software Engineer(2), Lead Software Engineer(1)

他の導入事例を見る

2025/12/16

Share

  • Share on Facebook
  • Share on Twitter

VEXツールを使用したWebシステムのセキュリティホール診断 VEXツールを使用したWebシステムのセキュリティホール診断

案件概要

Webシステムの開発完了に伴い、本番稼働前の包括的なセキュリティ診断を実施しました。システムに潜在するセキュリティリスクを早期に発見し、万全な状態でサービスをリリースすることがプロジェクトの目的です。

当社は、Webアプリケーション脆弱性検査ツール「VEX(Vulnerability EXplorer)」を活用した診断プロセスを提案・実行しました。システムの全画面・全機能を網羅的にチェックすることで、潜在的な脆弱性を洗い出し、それぞれの深刻度を評価しました。また、ツールの自動スキャン結果を専門エンジニアが精査し、誤検知を排除した正確な診断レポートを作成。発見された脆弱性に対する具体的な改修案を含めて報告することで、システムが安全基準を満たした状態でのリリースを実現しました。

利用した技術スタック及び開発ツール

  • プログラミング言語:Perl, PHP
  • データベース:MySQL, MariaDB
  • タスク管理ツール:Excel
  • コニュニケーションツール:Redmine

クライアントの課題

  • 潜在的な脆弱性の特定とリスクレベルの可視化
    開発が完了したWebシステムにおいて、外部からの攻撃対象となり得るセキュリティホールが残存していないか、検証が必要でした。特に、脆弱性が存在する場合、それがどの程度深刻なものなのか(情報漏洩やシステム停止に直結するかなど)を客観的に評価しなくてはなりません。
    クライアント社内にはセキュリティ専門の評価チームが不在であったため、網羅的な診断を行い、リスクの所在と大きさを正確に把握することが急務でした。
  • 意思決定と改修判断のための具体的根拠の獲得
    単に「危険性がある」という指摘だけでなく、具体的にシステム上のどこに問題があり、どのような攻撃を受けるリスクがあるのかを理解できる詳細な情報が必要でした。さらに開発ベンダーや社内の運用チームが修正対応を行う際、優先順位をつけて効率的に対処するための判断材料が不可欠でした。
    リスクの内容を技術的に噛み砕き、適切な修正措置を決定するための明確な根拠となるレポーティングが課題となっていました。

クライアントの要望

  • VEXを活用したシステム全体の網羅的な検証
    信頼性の高い脆弱性検査ツールである「VEX」を選定し、システム全体を漏れなくチェックすることが要件でした。特定の重要機能だけでなく、システム内のあらゆる画面遷移や入力フォームを対象とすることで、死角のないセキュリティ診断を行うことが求められました。これにより、リリース後に予期せぬセキュリティインシデントが発生するリスクを極小化する狙いがあります。
  • スキャン結果の精査と誤検知の排除
    自動化ツールによるスキャンでは、実際には攻撃できない挙動を脆弱性として検知してしまう「誤検知(False Positive)」が発生します。膨大なスキャン結果の中から、本当に対処すべき「真の脆弱性」だけを抽出することが強く求められました。無駄な改修工数を削減し、真に危険な箇所への対応にリソースを集中させるため、エンジニアによる目視確認と分析による精度の高い診断結果が必要とされました。
  • 具体的な対策案を含む最終レポートの提供
    診断結果の報告にとどまらず、検出された脆弱性をどのように修正・緩和すべきかという具体的な対策案の提示も必須要件でした。開発担当者がレポートを見て即座に修正作業に取り掛かれるよう、再現手順や修正コードの例示など、実践的なアドバイスを含んだ総括レポートを作成し、システムの安全性向上に直接寄与するアウトプットが期待されていました。

当社の提案・アプローチ

  • VEXによる網羅的なシナリオマップの設計と構築
    診断の抜け漏れを防ぐため、スキャン実施前にVEXツール上で詳細な「シナリオマップ」を作成しました。これはWebシステム内の画面遷移や機能のフローを可視化し、ツールに学習させる工程です。ログインから複雑な業務処理に至るまで、ユーザーが行い得るあらゆる操作ルートをマップ化することで、全画面・全機能に対するテストカバレッジを100%に近づけ、診断対象の網羅性を物理的に担保するアプローチを採用しました。
  • 専門エンジニアによるスキャン結果の分析と選別
    作成したシナリオに基づきVEXによる自動スキャンを実施した後、出力された膨大な検知ログに対して、セキュリティ知識を持つエンジニアが一つひとつ検証を行いました。ツールの判定結果をそのまま採用せず、実際に攻撃コードが成立するか、システム仕様上の挙動ではないかを確認し、誤検知(False Positive)を徹底的に排除。本当に対処が必要な脆弱性(True Positive)のみを抽出することで、信頼性の高い診断結果を導き出しました。
  • 深刻度別分類と改修提案を盛り込んだレポート作成
    精査された脆弱性情報を集約し、CVSS(共通脆弱性評価システム)などの基準を用いて深刻度別に分類しました。「緊急」「重要」「警告」といった優先度を明確にし、着手すべき順序を提示。さらに、それぞれの脆弱性に対して、コードレベルでの修正方法や設定変更による回避策など、具体的かつ実行可能な対策案を記載したレポートを提供し、スムーズな脆弱性改修プロセスを支援しました。

Related Case Studies

合わせて読まれている事例

01

02

「もはや”オフショア”という言葉自体、必要ないんじゃないか」 アレクシードベトナムと創る開発体制 (後編)

「もはや”オフショア”という言葉自体、必要ないんじゃないか」 アレクシードベトナムと創る開発体制 (後編)

某SIer 企業

IT・通信

  • ソフトウェア開発
「もはや”オフショア”という言葉自体、必要ないんじゃないか」 アレクシードベトナムと創る開発体制 (前編)

「もはや”オフショア”という言葉自体、必要ないんじゃないか」 アレクシードベトナムと創る開発体制 (前編)

某SIer 会社

IT・通信

  • ソフトウェア開発
「まずは一度、試してみては」 現場目線で語る、オフショア開発のすすめ オフショア開発を成功させるためのコミュニケーション(後編)

「まずは一度、試してみては」 現場目線で語る、オフショア開発のすすめ オフショア開発を成功させるためのコミュニケーション(後編)

株式会社アレクシード

IT・通信

  • ソフトウェア開発
「まずは一度、試してみては」 現場目線で語る、オフショア開発のすすめ オフショア開発を成功させるためのコミュニケーション(前編)

「まずは一度、試してみては」 現場目線で語る、オフショア開発のすすめ オフショア開発を成功させるためのコミュニケーション(前編)

株式会社アレクシード

IT・通信

  • ソフトウェア開発

01

02

他の導入事例を見る