サイバー攻撃による情報漏えいは、ネットでサービスを提供するあらゆる企業と、そのサービスを利用する消費者にとって身近な問題となってしまった。世界各地で毎日のように発生しているサイバー攻撃は、企業と消費者にとって重要な個人情報、信用情報を深刻な脅威にさらしている。
日本企業や政府機関などを狙った攻撃については、近年、一般のメディアでも大きく取り上げられるようになった。インターネット上でのサービス提供を行うすべての企業は、そうした攻撃から顧客の情報、自社のビジネスと信用を守るために有効な対策を立て、継続的に実施し続けることが求められている。
Webアプリのセキュアなライフサイクルを実現する具体策とは
サイバー攻撃対策の立案と実施にあたっては、攻撃者が最も狙いやすい「Webアプリケーションの脆弱性」に関する正しい情報と、適切な対応方法を知ることが必要だ。こうした知識を、企画、開発、運用のあらゆるフェーズに関わるステークホルダーが共有しておくことで、よりセキュアなWebアプリケーションの開発、運用が可能になる。
ネットを活用したビジネス展開には不可欠となっている「Webアプリケーション」のセキュアなライフサイクルを実現するために、運営、開発、運用に関わる企業が行える効果的な対策とは、どのようなものなのだろうか。
SCSKは、日本IBMの協賛で、8月29日に「Webアプリケーションに潜む脆弱性セミナー」と題したオンラインセミナーを開催した。
SCSKは、Webアプリケーションのセキュリティに関する総合的なサービスを「SECURE YOUR SITE」のブランド名で展開しており、Webアプリケーションの脆弱性診断サービス「Security Assessment」や、セキュアなアプリ開発を支援するサービス「Web Security Director」を提供している。また、日本IBMでは、SCSKの各サービスの中でも利用されている脆弱性診断ツール「IBM Security AppScan」の提供を行っている。
両社のコラボレーションで実現した、このオンラインセミナーでは、Webアプリケーションの脆弱性に効果的に対処するために、要求定義のようなアプリ開発の上流工程から、セキュリティに関する要件を適切に盛り込んでおくことが重要であることが繰り返し述べられた。また、脆弱性に関する診断を自動化できるツールをうまく活用することで、対策のコストや手間を大幅に軽減することが可能だという。
こうしたことを改めて訴える必要性について、両社の担当者は「近年特に、Webアプリケーション開発の上流工程から、脆弱性対策を考慮することの重要性が増してきているため」だと話す。
SCSK ITマネジメント事業部門 ITマネジメント第一事業本部 セキュリティソリューション部 Webセキュリティソリューション課 マネージャーの後藤剛志氏 |
「SCSKでは、既に稼働しているWebアプリケーションに対し、外部から擬似的な攻撃を仕掛けることで脆弱性の状況を診断し、対策を提案するサービスを提供してきました。これはいわばブラックボックステストですが、実際にこのテストで脆弱性が発見された場合、改修にかかるコストが大きくなってしまいがちだということも分かってきました。より合理的に脆弱性対策を行うためには、開発の上流工程からセキュリティ要件を組み込み、ソースコードレベルで検査を繰り返しながら実装を進めていくことが重要になってきているということを多くの方に知ってほしいと思っています」(SCSK ITマネジメント事業部門 ITマネジメント第一事業本部 セキュリティソリューション部 Webセキュリティソリューション課 マネージャー 後藤剛志氏)
「近年特に、Webアプリケーションの脆弱性対策に対する社会的な要請が厳しくなってきています。海外展開している日本企業が、海外のサイトで攻撃を受けた場合などには、日本の本社での管理体制を問われるケースも多くなっています。こうしたセキュリティ上の品質を適切に管理するためには、やはり上流工程からの対策が重要です。機能の実装とセキュリティ品質の確保を同時に進めるのは、負荷が高いイメージがありますが、実際にはそのための方法論やツールも整ってきています。それらをうまく使いながらセキュアなアプリケーションの開発体制を作っていくことは十分に可能です」(日本IBM、ソフトウェア事業セキュリティシステムズ事業部 徳力拓氏)