Webシステム開発でセキュリティが軽視される理由：Webシステムのセキュリティ要件（1）（3/3 ページ）

[丸山 司郎（株式会社ラック），＠IT]

安心して眠れるWebシステムとは

　100％安心で安全なWebシステムが存在しないことは、ソフトウェアのバグがなくならないのと同じ程度に明白な事実であり、現実である。 　

　だからといって、おのおのの企業が、想定できないリスクを抱えたままWebシステムを運営していかなければならないということではなく、きちんとした対策を施していれば、通常起こり得る攻撃に十分耐えられるWebシステムを構築することは可能である。ここで 具体的な対策方法を記載することは本論からそれるため、以下に有用な資料を紹介するにとどめる。

【関連リンク】
▼IPAのセキュアプログラミング講座
▼マイクロソフト「Web アプリケーションセキュリティ強化: 脅威とその対策」
▼マイクロソフト「信頼できるコンピューティングのセキュリティ開発ライフサイクル」

　また、最近では、WAF（Web Application Firewall）と呼ばれる、従来のセキュリティ製品では防御できないWebアプリケーションへの欠陥に対する攻撃に対応した防御製品も登場しており、これらの採用も対応策の1つとして考慮に値する。

課題解決策としての「セキュアなWebシステムRFP」

　JNSAのセキュアシステム開発ガイドライン作成ワーキンググループでは、Webシステムに脆弱性が存在し、その対策が遅れているという現実への対応策の1つとして、発注者側（ユーザー）側と受注者（Webシステム開発業者）とが共有できるWebアプリケーションのセキュリティ要求仕様について整理・提示することを試みることにした。

　Webアプリケーションに対する攻撃とその対策は、例えばSQLインジェクションやクロスサイトスクリプティング、およびセッション管理に関する問題や、アプリケーション固有の機能に関する問題を指している。これらは通常、Webアプリケーションによって実現したい機能から見れば「非機能要件」ととらえられ、従来の要求仕様では明示されるものではない。

　そのため、Webシステム開発業者としてはセキュリティ対策に関する提案と、そのコストの必要性を明確にすることが困難であり、システムオーナーにしてみれば社会的に必要十分な対策を取る意思があっても、その基準が無いためにベンダの提案を正しく評価することができない、という状況である。

　今回、その1つの解決策として、Webシステム開発を発注するに当たって、実際にRFPにどのようなセキュリティ要件を含めるべきかについて、ガイドラインを作成し広く一般に公開することとした。

図2 セキュリティを考慮した提案依頼の意義

　発注者（Webシステムのオーナー）にとっては、本資料を基に、RFPにセキュリティ対策に関する提案依頼を盛り込むことができる。これにより、各Webシステム開発業者がその特色を生かしたうえでセキュリティに対する提案内容についても大いに競争し、よりセキュアで効果的なWebシステムが作られるようになるはずだ。

　一方、受注者（Webシステム開発業者）にとっては、Webアプリケーションのセキュリティに関する要件を開発提案・要件定義・基本設計の段階から盛り込めるため、セキュリティに関する要件を「機能要件」という位置付けにすることができ、コスト算出のための裏付けの資料とすることができるはずである。

　次回は、JNSAで作成したセキュアシステム開発ガイドライン「Webシステムセキュリティ要求仕様（RFP）編」の解説を行う。

著者紹介

▼著者名　丸山 司郎（まるやま しろう）

株式会社ラックにおいて、情報セキュリティ全般に関するコンサルティングを担当しており、昨年からは個人情報漏えい事件などの緊急対応のマネジメントを行っている。主たる業務経験として、金融機関における大型汎用機システムの開発・保守を担当してきたことから、近年のWebシステムにおけるセキュリティ対策の脆さについて危惧をいだいている。

「Webシステムのセキュリティ要件」バックナンバー

• セキュリティ要件をどうRFPに盛り込むか
• Webシステム開発でセキュリティが軽視される理由