製品選択の助けとなるか――認証制度とセキュリティへの取り組み：プロダクト＆ソリューション（1/2 ページ）

業務アプリケーションの稼働基盤となるミドルウェアを提供する日立が今、特に積極的に推進しているのが、製品セキュリティレベルを向上させる数々の施策だ。セキュリティにおけるライフサイクルを確立し、第三者による認証制度を活用しようとする取り組みについて、日立製作所ソフトウェア事業部に話を聞いた。

[敦賀松太郎，ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。

　企業にとって、セキュリティ対策の重要性は、今さら語るべくもないことである。セキュリティ対策のずさんさが原因で情報漏えい事件がひとたび発生すれば、株価下落や損害保障、社会的な信用の失墜など、企業が被る損害は計り知れない。国も、セキュリティ対策に力を入れており、政府機関向けに統一基準を定め、民間向けには情報基盤強化税制を実施するなど、セキュリティ対策を促進するための施策を次々に打ち出している。

　セキュリティ対策を磐石なものにするには、組織内で働く従業員にセキュリティ教育を実施する「人」、安全性の高い業務の仕組みを確立する「プロセス」、セキュアなシステム構築を実現する「技術」という3つの側面から取り組む必要がある。セキュリティ教育や業務プロセスの改善については、企業が個別に対策すべきものだが、技術については各種製品を提供するベンダーに頼らざるを得ない部分が大きい。セキュリティの取り組みについて日立製作所ソフトウェア事業部の栗田博司氏にインタビューした。

　「これまで、わたしたちはミドルウェア製品を機能、性能、品質の3つを柱として開発・保守してきました。しかし、これからは、開発・保守の要件としてセキュリティを入れていかなければなりません。ソフトウェア製品の障害が原因で情報が漏えいしたり、パスワードが簡単に破られたりといったように、製品が安全に使えないのでは、お客様にお使いいただけません。そこで、セキュアなものづくりを目指す必要があるのです」（栗田氏）

日立製作所ソフトウェア事業部企画本部コンプライアンス推進部セキュリティグループ主任技師の栗田博司氏

製品セキュリティ・ライフサイクルの考え方

　セキュアな製品作りを実現するために日立が取り入れたのが、「製品セキュリティ・ライフサイクル」という考え方だ。これは、いわゆるPDCA（Plan-Do-Check-Action）サイクルをソフトウェア開発に当てはめたものである。

　「製品セキュリティ・ライフサイクルでは、要件定義から始まって、設計、実装、テスト、サポートのそれぞれのフェーズにセキュリティの取り組みを注入していきます。例えば、要件定義の段階では、製品の開発の中でどういうセキュリティ対策を組み込まなければならないかを、開発者と品質保証担当者、それにわたしたちセキュリティの専門部署が入って一緒にレビューしています。また、設計段階では、要件定義で決めたことに対し、どういうセキュリティ機能を搭載して対処するか、そういった検討を進めます。さらに実装段階では、ソースコードレベルの脆弱性に対応するためにチェックを行います。そして、最後の砦（とりで）となるテストの段階で、出荷前の製品に脆弱性がないかツールを使ってチェックし、合格したものだけを出荷するという形にしています。保守・サポートのフェーズでは、製品出荷後のセキュリティインシデントへの迅速な対応を行っています。ここでの対応をフィードバックして、次の要件定義に組み込むというサイクルを回しながら、信頼性の高いセキュアな製品を目指しています」（栗田氏）

　日立では、こうした製品セキュリティ・ライフサイクルを実現するために、2002年に取り組み始め、2004年には栗田氏が所属するコンプライアンス推進部セキュリティグループが正式な部署として発足。これまでの開発プロセスに、セキュリティグループのレビュー参加、脅威分析に基づくセキュリティ機能の策定、セキュリティスキャナやソースコード検査ツールなど脆弱性検査ツールの適用、開発者に対するセキュアプログラミング教育の徹底などを加える取り組みを続けてきたという。