米HP「Webアプリの品質、セキュリティの問題を“元から断つ”」：米HPに聞く、“フォーティファイ買収の背景”（1/2 ページ）

Webアプリケーションの品質およびセキュリティに関する問題を根本的に排除する――。具体的なアプローチについて担当者に聞いた。

[内野宏信，ITmedia]

　Webアプリケーションがビジネスに深く浸透している近年、その品質、セキュリティがあらためて注目されている。品質に問題があれば、ビジネスを遅滞させて機会損失を招き、セキュリティに脆弱性があれば、金銭だけでは解決できない傷跡をそのブランドに残してしまうためだ。そこでこの問題に対し、“障害をいち早く解決する”“ハッキングから守る”といった対症療法的なアプローチではなく、問題原因を元から断つ“原因療法”のアプローチで臨んでいるのが米ヒューレット・パッカードだ。

　同社は2007年6月、Webアプリケーションのセキュリティ評価ソフトウェア／サービスを持つ米SPIダイナミクスを買収。「BTO（Business Technology Optimization）――“ビジネスとITとのギャップを解消する”」をコンセプトとするBTO Softwareシリーズのうち、「HP Application Security Center」に同社製品を組み入れ製品体系を強化した。さらに、この2010年8月にはセキュリティ分野のリーディング企業、米フォーティファイ・ソフトウェアも買収。その技術も導入することで、「品質、セキュリティ面の問題を根本的に排除する」としている。では、具体的にはどのようなアプローチでそうした体制を実現するのだろうか。米ヒューレット・パッカードカンパニー シニアディレクターのマーク・サビュースキー（Mark Sarbiewski）氏に話を聞いた。

セキュリティの問題を“元から断つ”

　Eコマースやオンラインバンキング、オンライントレードなどWebアプリケーションがビジネスや日常で当たり前に使われている昨今、そのレスポンスが遅れて顧客に不快な思いをさせれば、即、機会損失やブランド性の低下を招くし、ハッキングに遭い顧客データなどを盗まれてしまえば企業は致命的なダメージを被る。サビュースキー氏はこうした状況について次のように解説する。

　「品質やセキュリティの問題は企業の存続を左右する。特にハッキングに遭うとその回復に100万ドルのコストがかかることも珍しくない。だが、そうした事態を避けるうえで何より問題なのは、“セキュリティ上の脆弱性がアプリケーションそのものの中に潜んでいる”という事実だ」

　これは、Webアプリケーションの開発者は「“開発のプロ”ではあっても、多くの場合、セキュリティのプロではない」ことに起因する。その専門家ではない以上、セキュリティホールに十分に配慮しながらコーディングを行うことがそもそも難しいというわけだ。そこで同社では、こうした状況の中、「では最初から脆弱性が潜んでいないものを作るにはどうすべきか」と考えたことが、2社の買収につながったという。

米ヒューレット・パッカードカンパニー シニアディレクターのマーク・サビュースキー（Mark Sarbiewski）氏

　まず、2007年に買収したSPIダイナミクスは、アプリケーション開発のライフサイクルを通じてセキュリティ上の脆弱性を検知する製品・サービスを提供してきたベンダであり、HP自身もその製品・サービスを利用してきた経緯を持つ。具体的には、実際に稼働しているアプリケーションに対し、“ハッカーが外部から攻撃するように”あらゆるパターンでテストを行い、脆弱なポイントを検知、明確化する。

　ただ、こうしたブラックボックステストは、脆弱性を効率的に検知するうえで非常に有効な半面、エンドユーザー視点で“外側から”テストするため、問題点があってもその原因個所までは特定することができない。すなわち「どのコードに、どんな問題があるのか、コードは効率的な構造になっているのか、といったアプリケーション内部の問題までは把握することができない。

　よって、「最初から脆弱性が潜んでいないものを作る」ためには、アプリケーションの動作を支えるコードそのものの問題を解析する静的テストも求められる。サビュースキー氏は「まさしく、そのためにフォーティファイ・ソフトウェアを買収した」と解説する。

　「周知の通り、フォーティファイ・ソフトウェアは静的解析ツールで定評のあるベンダ。ソフトウェアのコードを自動的に分析し、脆弱性のあるコードを効率的に発見する技術を持っている。このフォーティファイ・ソフトウェアとSPIダイナミクスの技術を掛け合わせることで、“アプリケーションを使ったときの弱点”と、それを支えている“コードの弱点”を洗い出し、2つのテスト結果を合わせれば、問題の現象、原因を特定することができる。これにより、『どこがアプリケーションの弱点なのか』を高精度に特定できるほか、『コードを修正するうえで、最もプライオリティの高い部分はどこか』も迅速に分析可能となる。すなわち、問題原因を根本的に摘み取り、Webアプリケーションの脆弱性、セキュリティ上の問題をプロアクティブに防止できるというわけだ」

“アプリケーションを使ったときの弱点”と、それを支えている“コードの弱点”を洗い出し、2つのテスト結果を合わせて問題の現象、原因を特定する

　むろん、ブラックボックステストとホワイトボックステストの長所を掛け合わせ、短所を補完する“グレーボックステスト”は以前から存在する。ただ、それぞれの分野におけるリーディング企業の技術を融合させて、より確実にテストを行いやすい環境を提供すべく「1つの製品としていく」点に今回の意義があるという。

　というのも、開発作業は、開発途上の段階にあっても、その過程でコードの問題が発見されれば、即、修正しながら開発プロセスを進めていく形となる。しかし周知の通り、開発工程が進めば進むほど迅速な修正は難しくなる。開発の後半になって問題が見つかれば、大幅な手戻りが発生する可能性もある。

　「その点、開発者がひと仕事を終えるたびに、本製品を使ってスキャニングをし、開発の初期段階から、ブラックボックス、ホワイトボックスを掛け合わせたテストを行いながら工程を進める形とすれば、問題を確実につぶしながら工程を進められる。すなわち、確実かつスピーディにセキュアなアプリケーションを開発できる環境が整う」

　本製品は、アプリケーション・ライフサイクルの各段階におけるセキュリティテストを支援する「HP Application Security Center」の一製品として組み込まれ、「近日中にベータ版を発表する予定」だという。