掲載日 2009年6月23日
株式会社 電通国際
情報サービス 製造業向けソリューション、金融業向けソリューションをはじめ、会計分野、ERP分野、マーケティング分野など、多方面にわたって積極的な事業展開を図り、顧客企業のビジネスパートナーとして、コンサルティングからシステムの企画・設計・開発・運用・メンテナンスまで一貫したトータルソリューションを提供している株式会社 電通国際情報サービス(以下、ISID)では、インターネットに公開するWebアプリケーション案件やセキュリティー要求が高いイントラネット案件の開発において、セキュリティー向上のために、セキュリティー・レビュー・ボード(以下、SRB)と呼ばれるレビュープロセスを設けています。主にWebアプリケーションの脆弱(ぜいじゃく)性を洗い出し、セキュリティー面での品質向上を目指すのが狙いです。このプロセスで活用されているのが、IBM Rational® AppScan®です。ISIDでは、SRBのプロセスでRational AppScanを活用することで、成果物ベースのセキュリティ−・チェックをより効率的かつ効果的に実施し、セキュリティー品質向上に役立てています。
お客様ニーズ
確実な脆弱性のチェックをスピーディーに行いたい
SQLインジェクションやクロス・サイト・スプリクティングなどWebサイトへの攻撃が増加するのに伴いWebアプリケーションに対する脅威も広く知られるところとなっています。こうした中、ISIDにおける金融、製造、産業などさまざまな業種の顧客企業においても、セキュリティーに対する関心は、ますます高まっています。特に金融系のWebアプリケーション開発等においては、提案依頼書(RFP)に基準を持ったセキュリティー・チェックを行うことが要件として記載されている案件もあります。提案依頼書にセキュリティー・チェックが明示されてない案件についても、セキュリティーへの対応を顧客から問われることもあり、セキュリティーへの取り組みや要望は、これまで以上に強く求められている状況にあります。
ISIDでは2001年より、SRBと呼ばれるセキュリティー品質に特化した技術レビューで、Webアプリケーションのセキュリティー・チェックを行ってきました。特にセキュリティー要件の厳しい案件については、専門業者に委託して診断を行ってきました。しかしながら、いくつかの課題も挙がっていました。
「Webアプリケーションへの攻撃は、日々、新しいものが出現しています。セキュリティー・チェックを行う上で一番の課題が、新たな攻撃への対応でした。もう一つは、脆弱性の判断です。当時は、脆弱性なのかどうかの見極めが難しく、人手をかけてチェックを行っていました」(事業推進本部 開発技術センター 開発基盤技術グループ シニアコンサルタント 富田 聡氏)。
ソリューション
SRBのレビュー
Rational AppScanの導入で、より有効なレビュー体制を確立
2004年、ISIDでは、より効率的で、かつ効果が上がるセキュリティー・チェックを行うために専用ツールの導入を検討しました。候補として挙がったのがRational AppScanです。ツールの選定について、富田氏は次のように語ります。
「最もツールに期待するのは、脆弱性かどうかの判断に対する精度です。誤検知が多いと判断に困るので、精度の高さがツール選択の一番のポイントになります。Rational AppScanについては、バージョンアップを重ねるごとに精度が高まっており、この点を大変評価しています」
チェック結果の精度に加え、インターフェースの使いやすさ、検出された脆弱性に対して出力されるレポートの内容等を評価した結果、Rational AppScanが選択されました。
「検出されたものがどのような脆弱性なのか。それに対してどういった対策があるのか。この二つがそろって分かるのが、ツールを使う利点だと思っています。そのためレポートには、見つかった脆弱性について、対応するだけの価値のある情報が提供されていることが重要です。その結果を見て、リスクコントロールできることが大切なのです。対策のコストが見合わないのであれば、別の対応を考えるのも一つの方法なので、その判断ができる材料を得られるツールがよいと考えています」(事業推進本部 開発技術センター 開発基盤技術グループ アーキテクト 佐藤 太一氏)。
導入効果
精度の高いチェック結果でSRBが効率的・効果的に機能し、品質向上にも効果
SRBによるセキュリティー・チェックは、開発案件の提案時、計画・設計時、実装・テスト時のフェーズで実施されます。特に実装・テスト段階では、脆弱性検査SRBが行われ、設計時に計画したセキュリティー対策が適切に実装されているか、脆弱性が存在するかどうかを、成果物(プログラム)ベースで検査します。その検査では、ソースコードの静的セキュリティー・チェックを行う静的検査、稼働状態のWebアプリケーションの脆弱性チェックを行う動的検査を実施します。Rational AppScanを採用することで、その解析性と分析性の高さから、動的検査が効率的かつ効果的に実施できるようになりました。
実際の運用においては、Rational AppScanでの結果を見ながら、アプリケーションの特性や要件を考慮した上で、SRBのレビュー担当メンバーでディスカッションを重ね、個別に重要度や修正要否などについて検討。レビュー会にて、開発側にフィードバックを行っています。
「Rational AppScanで脆弱性が見つかった場合、脆弱性に起因して発生する問題のリスクを伝えて、修正を依頼しています。リスクを適切に伝えることで、案件を担当している開発側の理解も深まっていくと考えています。こうした活動を繰り返していくことで、品質向上につながることも期待しています」(事業推進本部 開発技術センター 開発基盤技術グループ アーキテクト 中村 年宏氏)。
SRBが機能するためには、成熟したツールとスキルを備えた人材によるレビュー体制が必要だと富田氏は語ります。Rational AppScanというツールとレビュー体制がそろうことで、テスト段階での脆弱性検査SRBがより効率的・効果的に機能するようになりました。
将来の展望
品質の向上を付加価値につなげたい
ISIDでは、今後、セキュリティー品質だけでなく、より広義での品質向上につながる施策を考えています。
「SRBを社内のベストプラクティスとして、セキュリティー以外の非機能要件に対しても品質向上に向けてさまざまな施策を推進していきたいと考えています。それがISIDの一つの付加価値となるようにしてきたいと思っています。AppScan同様、別分野でも効果的なツールが提供されることを期待しています」(事業推進本部 開発技術センター 部長 松中 昭二郎氏)。
また現在、セキュリティーに対してSRBのレビュープロセスが機能しているように、非機能要件の性能などのチェックについても、同様のプロセス構築を目指しています。
「レビュー結果をより確実に修正に結びつけるには、やはりプロセス化が有効だと考えています。ただし、レビュー結果のやりとりは、プロセスとはいえ、人と人とのやりとりです。脆弱性検査SRBのように、レビュー結果に案件担当が納得して修正が進められるよう、工夫を凝らしたプロセス化を進めていきたいと思います」(富田氏)。
お客様情報
製造業向けソリューション、金融業向けソリューションをはじめ、会計分野、ERP分野、マーケティング分野など、多方面にわたって積極的な事業展開を図り、顧客企業のビジネスパートナーとして、コンサルティングからシステムの企画・設計・開発・運用・メンテナンスまで一貫したトータルソリューションを提供しています。
本事例中に記載の肩書や数値、固有名詞等は初掲載当時のものであり、閲覧される時点では、変更されている可能性があることをご了承ください。
事例は特定のお客様での事例であり、すべてのお客様について同様の効果を実現することが可能なわけではありません。
IBM、IBM ロゴ、ibm.com、AppScanおよびRationalは、世界の多くの国で登録されたInternational Business Machines Corp.の商標です。
他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。
現時点での IBM の商標リストについては、http://www.ibm.com/legal/copytrade.shtmlをご覧ください。
