前回は、企業にとって重要な「窓口」であるWebアプリケーションの脆弱性対策について考えた。その際、存在と実際の被害が明らかになっているにもかかわらず、抜本的な対応が進まないWebアプリ脆弱性への対策として、要件定義や設計といった開発初期の段階から、セキュリティを十分に考慮してプロジェクトを進めることで、対策コストを大幅に下げられることを理解していただけたと思う。
すでに稼働しているWebアプリに対して脆弱性診断を行うのは有効な方法の1つではあるものの、診断を行うべきアプリ数が増えた場合や脆弱性が発覚した場合にコストが嵩みやすいというデメリットがある。そのため、現在では要件定義やコーディングといったフェーズから、セキュリティ対策のプロセスを組み込みたいというニーズも高いという。
前回の記事で紹介した、SCSKの「Web Security Director」では、要件定義、設計、コーディング、テスト、導入といった開発サイクルの各フェーズで、Webアプリのセキュリティを確保するためのプランニングやコンサルティングを提供している。その中では、開発者に対し、脆弱性の少ないコーディングを行うための方法やコード検証ツールの使い方に関するトレーニングも提供している。トレーニングを受けた開発者が、そこで得た知識を現場で活用することで、セキュアなコーディングを実践できるようになることを目指したものだ。
開発者がセキュアコーディングに関する知識を習得し、その後も継続的に情報収集や診断を繰り返すことで、スキルは向上していく。それがひいては、会社が生み出すWebアプリのセキュリティ品質の底上げにつながる……というのが理想的な展開だ。
企業として脆弱性対策に取り組むことの重要性
とはいえ、理想の実現は簡単ではない。SCSK SCSカンパニーIT基盤ソリューション事業部でWeb Security Directorに携わる長尾亮氏は、脆弱性診断サービスや、セキュア開発に関するトレーニングを提供していくなかで、個人、そして企業にセキュア開発を習慣として根付かせることの難しさを感じているという。
「セキュア開発講習の効果は、講習終了後に開発者がどれだけ自主的に診断や情報収集の作業を続けるかによって大きく変わってきます。講習は受けたものの、会社での実践が数回程度で終わってしまうというケースも少なからずあり、もったいないことだと思います」(長尾氏)
トレーニングの成果を十分に享受できるかどうかは、開発者個人の資質というよりも、企業としてセキュア開発を行うための環境づくり、仕組みづくりの重要性を十分に認識できているかどうかにかかっていると言ってもよいだろう。
セキュリティに関するトレンドは、日々変化する。この変化にキャッチアップしていかなければ、アプリケーションの高いセキュリティレベルを維持し続けることは難しい。業務に関連するとはいえ、開発者個人がこうしたアップデートを続けるのは敷居が高い。
セキュアな開発を社内標準とし、セキュリティに関する作業を開発ワークフローに組み込むことで、正式な業務として開発者も取り組めるようになる。
こうした環境を作るには、個人や部署単位ではなく、組織や規定などの改編も含めた全社規模での取り組みが最も効果的だ。部署ごとに脆弱性への対応や意識がまちまちでは、一過性の取り組みで終わって、結果として社内にノウハウが残らないという結果を招きがちなためだ。
脆弱性診断体制の構築ノウハウを提供する「Startup Partner」
SCSKはセキュリティサービスブランド「SECURE YOUR SITE」の中で、Webアプリの脆弱性を自社で継続的にチェックしていくための体制構築を支援する「Startup Partner」と呼ばれるプログラムを提供している。
これは、同社が実施しているWebアプリ脆弱性診断サービスのノウハウを、社内での診断体制の構築を目指す企業に提供するものだ。脆弱性診断のために必要な知識や技術、ツールの使い方に関するトレーニングに加え、脆弱性診断業務のためのワークフロー作り、セキュリティ対策チームの立ち上げ方といったノウハウも提供する。
さらに、診断体制の構築後も、最新の診断手法の提供や診断作業の支援、運用改善の提案などを継続的に行う。社外に診断を依頼する際にかかるコストを削減したいというニーズにこたえつつ、そのための組織運用や最新情報のアップデートまでをサポートする点が特徴だ。
ある精密機器のグローバルメーカーでは、グループで運営する100以上のWebサイトのセキュリティレベルの統一を目指し、脆弱性診断体制の構築に取り組んだという。脆弱性診断のツールは当初オープンソースのものを検討したが、機能面での不足を感じ、商用のもの(「IBM Rational Appscan」)を選択。あわせて、SCSKのStartup Partnerを導入することで、ツールと手作業の併用による脆弱性診断のノウハウ確保と、それを社内に定着させるための体制作りを進めていった。
現在、そのメーカーでは新規に公開されるサイトや既存サイトの機能追加についてIT部門が脆弱性診断を実施し、対策を施したうえで公開するというルールが徹底されている。また、年1回のサイトの棚卸し作業や、潜在リスクの評価に基づいた定期的な脆弱性診断も実施されているという。
長尾氏は、企業におけるWebアプリの脆弱性対策の重要性を、従業員の「定期健康診断」にたとえる。すなわち、Webアプリの脆弱性対策は、従業員の重病の芽を早期に発見することを目的とする健康診断と同様に、企業全体の課題として「予防的な対策」を打っておくことで、脆弱性を原因とする致命的な結果(顧客情報の漏洩)の大半は回避できるというわけだ。
「実際に、脆弱性診断に携わって実感していることは『ほとんどのサイトにおいて、何かしらの脆弱性が検出される』ということです。しかし、脆弱性を事前に対処することは、仕組みさえ整っていれば決して難しいものではありません。ぜひ、その重要性を理解して、企業として脆弱性対策に取り組んでほしいと思います」と長尾氏は話す。
SCSK株式会社
IT基盤ソリューション事業部
セキュリティソリューション部
主任 長尾 亮
Webアプリケーションエンジニアを経て2007年よりセキュリティ関連の業務に携わっている。年間40サイト以上の脆弱性診断に従事する一方、数多くの企業においてトレーニングを実施し、セキュリティ診断の内製化支援を手掛けている。
また海外のセキュリティ製品を取り扱っており、ワールドワイドでのセキュリティ事情にも精通