「セキュリティ要件は設計時から盛り込もう」、MBSDがナレッジサービスを提供

三井物産セキュアディレクションは、安全なWebアプリケーション構築に必要な知識やノウハウを提供する「WebSec ナレッジサービス」を開始する。

[高橋睦美，ITmedia]

　三井物産セキュアディレクション（MBSD）は9月13日より、安全なWebアプリケーション構築に必要な知識やノウハウを提供する「WebSec ナレッジサービス」の販売を開始した。21日よりサービスを開始する。

　セキュリティ対策というとウイルス／ワーム防御やOSのパッチ適用といった手段が思いつくだろうが、それらと同じように対処が必要なのが、オンラインショップや資料請求システムなどに幅広く用いられているWebアプリケーションだ。ユーザーを特定する「セッションID」管理の不備やSQL Injection、Form Field Manipulationといった脆弱性が存在すると、なりすましが可能になったり、重要な情報を盗み見られたりする恐れがある。

　MBSDは過去2年にわたって、Webアプリケーションの脆弱性を検査するサービスを提供してきたが、その結果「Webページ1000ページ当たり、約830個の脆弱性が発見された」（同社の新井一人氏）という。そのすべてが、直接、多大な損害を蒙るような深刻なものではないというが、あまり褒められた状況ではないのも事実だ。

　以前に比べれば、Webアプリケーションの脆弱性に対する意識は高まっているというが、いまだにこうした状況が蔓延しているのはなぜだろうか？　新井氏によれば、「多くの顧客では、（Webアプリケーションの）システム要件は『実現したい機能』にフォーカスされており、セキュリティ要件は定義されていない。そもそも、セキュリティ要件にどういった項目を入れればいいのかが分かっていないかもしれない」ことが背景にあるという。

MBSDマーケティング本部長の新井氏は、構築後のチェックとともに、設計、開発段階でセキュリティ実装を盛り込んでおくことの重要性を指摘

　この結果、設計／開発時から盛り込んでおけば実装が容易なはずの「セッション管理」「入力値のチェック」といった項目が後回しにされ、脆弱なままのWebアプリケーションが公開されることになってしまう。しかも、後から修正を加える場合のコストは、設計時からセキュリティ要件を組み込んでおく場合に比べ、大きくかさむのが一般的だ。

　WebSec ナレッジサービスは、こうした問題を根本的に解決するためのサービスだ。Webアプリケーションにどういったセキュリティ上の問題が潜んでおり、どのような手立てを打てばそれらを最小限に押さえ込めるかといったノウハウを提供することで、開発／設計時からセキュリティ要件を盛り込めるよう支援する。

　具体的には、Webアプリケーションのセキュリティについて、1日コースで研修を行う「Webセキュリティ教育」のほか、専用クライアントツール「WebSec ナレッジツール」を用いて開発の各ステップごとに必要なセキュリティ項目をピックアップし、チェックリスト形式で達成度の確認を行えるサービスが提供される。

　このWebSec ナレッジツールでは、画面上でサーバの種類や稼動するプラットフォーム、開発言語や利用する機能などを選択することにより、自社システムに必要なセキュリティ項目がピックアップされる仕組みだ。後は開発ペースに合わせて各項目を実装し、実施状況をチェックしていくことになる。詳細が分からなくなったときに備え、解説ページへのアクセスが可能なほか、電子メールでのサポートが用意される。実施状況をグラフィカルに表示させ、どの程度目的が達成できたかを確認することも可能だ。

　こうして自社なりにWebアプリケーションのセキュリティを高めたつもりでも、念のため第三者によるチェックを行いたいという場合に備え、オプションサービスとして「脆弱性検査サービス」も提供される。これは、既に提供済みの検査サービスを、通常の4割引という特別価格で提供するものだ。同社コンサルタントの手で、ツールだけでは把握できない脆弱性をチェックできること、顧客サイトに合わせた改善策が提示されることが特徴という。

　新井氏によると、サービスとしてまとめられる以前にWebアプリケーションセキュリティ教育サービスを受けたある大手企業では、「かつては事故が多発し、週末返上でチェックを行っていたものが、企画に携わる人々に教育を受講してもらった後の1年半は明らかに事故の数が減った。しかもこの企業では、内部で独自にWebアプリケーションに対するルールを定め、公開前にチェックすることで質の向上を目指している」という。

　MBSDでは、Webアプリケーションを運用する企業、その開発委託を受けるインテグレータ双方に向けてサービスを提供していく。目に見える形で必要なセキュリティ項目を提示することで、委託元と開発側、「双方の意識をすり合わせ、なすべきことの共通理解を図れれば」（新井氏）。

　WebSec ナレッジサービスの料金は利用者数と期間に基づいて決定される。単一の開発プロジェクトなどを対象とした3カ月間の短期提供コースでは、対象が5名で52万5000円から。1年間の長期提供コースでは同じく5名の場合で189万円からとなり、別途初期導入費用として63万円が必要だ。検査サービスはコストが高くて手が出ない、といった企業にも提供していく方針である。