- 調査・研究
Webアプリケーションに対する脆弱性診断への取り組み
Webアプリケーション開発における脆弱性診断の必要性
毎日のようにセキュリティに関するニュースが飛び交う昨今、システムに関するセキュリティ対策が欠かせない時代になっています。 特にインターネット上に晒されるWebアプリケーションを構築・運用する場合、セキュリティ対策の必要性がますます高まっています。
弊社のお客様の開発案件の中でも、特に金融業界のお客様の場合は高いセキュリティレベルを求められることが多いため、セキュリティ対策として、Webアプリケーション脆弱性診断(*1)のご要望も多くあります。 そこで弊社では、最新のセキュリティ知識・技術を保有しているエンジニアで構成したセキュリティ専門チームを設置し、弊社ソリューションのセキュリティレベルを向上させる取り組みを行うことにしました。
本記事ではそのセキュリティチームの取り組みのうち、弊社が提供しているサービス事例をご紹介いたします。
(*1)Webアプリケーション脆弱性診断とは、Webアプリケーションに存在する潜在的なセキュリティ脆弱性を発見し、それらが悪用されるリスクを軽減するためのプロセスです。
弊社開発案件におけるWebアプリケーション脆弱性診断
Webアプリケーション開発の際のセキュリティ対策として、レビューやセキュアコーディングに関しては、当社独自に開発規定を設けて対応しております。一方、Webアプリケーション脆弱性診断に関しては、顧客に手配いただいたセキュリティ業者様に診断を実施いただいている状況でした。
これは、第三者的な視点での診断が必要であるという観点からは正しい構図ですが、弊社が目指す「ワンストップ」での支援は実現できていませんでした。
お客様から見ると弊社にWebアプリケーション開発を依頼しているにも関わらず、別途診断業者とも契約を締結して作業を依頼するという手間が発生してしまいます。
また、弊社としても必要な情報を診断事業者に連携する必要があり、情報伝達の手間やコストが発生するという課題を抱えていました。
弊社の取り組み
上記課題を解消するため、自社内で「ワンストップ」でWebアプリケーションの脆弱性の診断を行うとした場合、開発の体制との独立性が重要になります。つまり、情報伝達の手間やコストを削減しつつも、開発担当者との独立性・第三者視点を保つことが必要になります。 これに対し、当社では以下の取り組みを行いました。
①スリーシェイク社と協業し、診断ツール「Securify」を用いる
②開発担当者とは独立したセキュリティ専任者による脆弱性の診断を実施
これらの取り組みにより、自社内で対応するという制約の中で最大限の独立性・第三者視点を保ちながら、Webアプリケーションの脆弱性診断を行うことが可能になりました。
-
「Securify」に関する詳細はこちら Securify製品ページ
この取り組みは、Securifyを提供するスリーシェイク社のコーポレートサイトでも導入事例として掲載されています。
- 詳細はこちら Securify導入事例
ワンストップサービスによる効果
自社内でWebアプリケーション脆弱性診断を提供することができるようになり、「ワンストップ」でサービスの提供が可能となりました。これにより、お客様にとっては別途診断業者と契約する必要がなく、コストの削減を実現しました。また、弊社としては脆弱性診断に関する作業を社内で完結することができ、作業効率が向上しました。さらに、自社内のセキュリティ専門チームが診断を担当することで、独立性・第三者の視点を確保した診断が可能となりました。
当社内の体制で検査を実施するため、厳密な独立性を求める場合は適していない場合もありますが、開発、検査、およびそれに伴う修正に関するコミュニケーションを密接にとることができることから、スピーディに対応を進めることができるようになりました。
Webアプリケーション脆弱性診断に関しては、これまでは規模の大きい開発案件や、高いセキュリティレベルが求められる金融業界のお客様への支援が主な対象となっており、比較的小規模の開発案件や、金融業界以外のお客様、特に中小企業のお客様へのご支援は難しい状況でした。
本取り組みにより、弊社ではお客様のご要望に合わせて、中小企業のお客様や、比較的小規模な開発案件でもWebアプリケーション脆弱性診断をご提案できるようになりました。
インフォテックだからできること
弊社ではお客様のビジネスを実現するため、上述した通りのセキュリティ専門チームを構え、以下の方針でセキュリティ対策に取り組んでおります。
①セキュリティを考慮した開発
企画・設計段階から各工程において弊社のセキュリティ専任チームと連携し、セキュリティ上の脅威を考慮した対策を開発時に組み込んで進めます。
②DevSecOps(*2)によるシステム運用
運用後も増大する脅威や新たに発見されるソフトウェア脆弱性を定期的なセキュリティ診断/検査などによって検知し、対応することが可能です。DevSecOpsに基づく継続的な運用によって、セキュリティリスクをいち早く検知し、対応することが可能となります。
(*2)DevSecOpsとは、ソフトウェア開発ライフサイクルのすべてのプロセスの中でセキュリティを統合し、その密な連携によって、開発期間を短縮し、リリース頻度を損なわない開発スタイルのことを指します。運用後にも増大する脅威やソフトウェア脆弱性などに対応し、セキュリティリスクの増大に対応します。
また、弊社ではさまざまなソリューションをご用意しておりますが、セキュリティ専門チームが各種ソリューションの担当技術者をセキュリティ面でサポートします。そのため、各種ソリューションのご提供に関しても弊社の確かなセキュリティノウハウを活かし、よりセキュアなシステムをご提供することが可能です。
弊社のソリューションについては以下をご覧ください。
最新のセキュリティに関する知識・技術を保持したセキュリティ専門チームがお客様の大切な情報を守ります。
新しいソリューションの導入時にセキュリティに関するお悩みをお持ちのお客様は、是非一度弊社までお問合せください。