webセキュリティ診断とNTTの最新技術を詳しく解説

2025 11/07

2025/11/07

はじめに

本記事の目的

本記事は、NTTグループが提供するWebセキュリティ診断サービスを分かりやすく紹介することを目的としています。企業の情報システム担当者がサービス選定や導入検討を進める際に参考となるよう、特徴や診断内容、導入メリット、サポート体制まで幅広く解説します。

読者想定

対象は中堅・大企業の情報システム担当者やセキュリティ責任者です。専門用語は最小限に抑え、初めて診断を検討する方でも理解できるように説明します。

この記事で得られること

NTTグループ各社の診断サービスの違いが分かります。
診断の流れや実務での注意点、サポート体制を把握できます。
AIや最新技術の活用例から、今後の導入の方向性を検討できます。

本稿の構成

全8章で構成します。以降の章で、サービス内容、診断の進め方、導入メリットや教育支援などを順に解説します。まずは全体像をつかんでください。

NTTグループのWebセキュリティ診断とは

概要

NTTグループのWebセキュリティ診断は、WebサイトやWebアプリ、サーバー、ネットワーク機器などを専門家が調べ、脆弱性を発見して具体的な対策を提案するサービスです。たとえばログインフォームの不備やファイルアップロードの設定ミス、サーバーの公開設定などを点検します。

対象と方法

自動ツールによるスキャンと、専門家の手による手動検査を組み合わせます。自動化は広い範囲を素早く確認し、手動検査は複雑な攻撃の可能性を深く検証します。対象は公開サイトだけでなく開発段階のアプリやAPIも含められます。

診断の特徴

リリース前後、定期診断、緊急対応など柔軟に対応します。
発見した問題は優先度を付けて報告し、具体的な修正方法を提示します。
修正後の再検査や運用面でのアドバイスも行います。

利用の際のポイント

診断は「一度」で終わらせず、定期的に実施することをおすすめします。開発の流れに組み込むと、公開前に問題を減らせます。

主な診断サービスと特徴

以下では、NTTグループ各社が提供する代表的な診断サービスと、その特徴を分かりやすく説明します。実際の用途に合わせて選びやすいよう、サービスの違いと利点を具体例で示します。

NTTセキュリティ・ジャパン

提供サービス: Webアプリケーション診断、プラットフォーム診断（OS/ミドルウェア設定など）。
実施形態: リモート（遠隔）とオンサイト（訪問）に対応します。小規模はリモート、大規模や複雑環境はオンサイトが向きます。
特徴: 自動ツールによるスキャンに、専門家の手作業（マニュアル検証）を組み合わせたハイブリッド診断を用意。例えば、ログイン画面の脆弱性は自動検出後に専門家が再現確認します。
セルフ診断: 自社で手軽に使えるツールも提供。簡易チェックを行い、初期の脆弱性把握に便利です。

NTT東日本

提供サービス: 簡単申込で始められる定期自動診断。
実施形態: 完全自動の定期スキャンを設定でき、夜間に自動実行して継続的にチェックします。
報告: 診断結果はメール通知とPDF報告書で受け取れます。運用担当者がすぐ確認でき、改善の優先順位付けに役立ちます。

NTT ExCパートナー

提供サービス: 現地調査と対面の報告会（ワークショップ）を重視した支援。
特徴: 実際の運用環境を確認して、問題点を可視化します。報告会で改善策を議論し、現場で実行しやすい対策提案を行います。たとえば、設定ミスや運用手順の改善を具体的に示します。

選び方の目安: 小規模で手早く確認したいならセルフや自動診断、大規模や重要システムはハイブリッドやオンサイト、運用改善まで含めるなら現地調査＋報告会が適しています。

AI活用と最新動向

概要

近年、AIを使ったWebアプリ診断が進み、診断の速度や精度が向上しています。NTTデータはAI診断ツール「AeyeScan」を活用し、手動診断の補助や診断サイクルの高速化、コスト削減を図っています。

AeyeScanの役割

AeyeScanは自動で脆弱性の候補を検出し、手動確認が必要な箇所を絞ります。例えば入力フォームの不正な値や既知の脆弱性パターンを発見し、診断者に優先順位を付けて提示します。これにより同じ作業を繰り返す時間を減らし、人的リソースを重要な判断に集中させます。

生成AI・LLMを使った診断

生成AIや大規模言語モデル（LLM）を用いて、コードの静的解析結果を自然な言葉で説明したり、脆弱性の修正案を提案したりします。NTTデータは「OWASP Top 10 for LLM Applications 2025」に準拠した診断メニューも提供し、LLM特有のリスクを考慮したチェックを行います。

メリットと活用例

AIは大量ログの初期解析、再現手順の生成、誤検知の削減に有効です。CI/CDパイプラインへ組み込み、開発サイクル内で早期に問題を発見できます。

注意点と対策

AIは誤った結果（誤検知や過小評価）を出すことがあります。出力は必ず専門家が確認し、モデルの学習データやログを適切に管理することが重要です。また、機密情報の扱いに配慮し、入力データを匿名化するなどの対策を講じます。

導入のポイント

AIツールは万能ではありません。自動診断と手動診断を組み合わせ、人の判断を残す運用が最も効果的です。導入時はトライアルで効果を測り、運用ルールを整備してください。

診断の流れ・サポート体制

以下では、実際の診断の流れと提供されるサポート体制について、わかりやすく順を追って説明します。

1. ヒアリング・見積もり

まず担当者が現状を詳しく伺います。対象となるWebサイトやAPI、サーバ構成、利用者数や公開範囲などを確認します。例：会員サイトと決済機能がある場合は、それぞれの範囲を明確にします。これに基づき、必要な診断手法と工数を提示し、見積もりを作成します（通常数日〜1週間）。

2. 契約・調整

診断の範囲やスケジュール、守秘義務（NDA）を取り決めます。診断中の業務影響を避けるため、実施時間帯やテスト環境の確認も行います。必要に応じて社内の連絡窓口やオンコール体制を設定します。

3. 診断実施

経験豊富な診断員が実際に脆弱性を探します。自動ツールで広く網羅した後、手作業で深掘りします。例：フォーム入力の脆弱性や認証周りの挙動を実際に確認します。スケジュールは数日〜数週間で、対象の規模や複雑さで変わります。

4. 報告・フォロー

発見した脆弱性を分類し、優先度と対策案を提示した報告書を作成します。報告会で技術担当と経営側に分かりやすく説明します。必要な場合は修正後の再検査（リテスト）を行い、対策が有効か確認します。

サポート体制

プロジェクトマネージャー：日程調整や進捗管理を担当します。
診断員（エンジニア）：実作業と技術説明を行います。
セキュリティコンサルタント：優先度付けや改善計画策定を支援します。

24時間内の初期応答や重要脆弱性の緊急対応など、SLAに沿ったサポートを提供することが一般的です。報告書の補足説明や技術トレーニング、長期的な監視サービスの提案まで、導入後の支援も充実しています。

注意点（チェックリスト）

対象範囲を明確にする
テストでの業務影響を事前に調整する
重要脆弱性は速やかに共有する
修正後の検証スケジュールを確保する

これらの流れと体制により、安全性の高い運用に向けた実行可能な改善策をスムーズに進められます。

導入メリットと利用シーン

導入メリット

NTTグループのWebセキュリティ診断を導入する主な利点は、専門家のノウハウによる高精度な脆弱性発見と、現場で使える改善提案が得られる点です。自動診断の効率性と人による精査を組み合わせ、誤検知を抑えつつ見落としを減らします。定期的な診断でセキュリティを維持し、脆弱性の再発を防ぎます。AIや自動化で検査時間やコストを削減できます。診断後は詳しい報告書と再検査、ベストプラクティスの提示で運用改善を支援します。