【インターネットを安全に】Webアプリケーションセキュリティのスペシャリスト“セキュアスカイ・テクノロジー”です
- HOME
- Webアプリケーション診断
- 導入事例 Jストリーム様
![[ユーザ事例] Jストリーム様](images/h3_example_01.gif){kind=small}
コンテンツ課金プラットフォームのセキュリティ強化
セキュアスカイ・テクノロジー『Web脆弱性検査サービス』を導入。個人データ保護を確実に
世界初のインターネットを使った本格的な動画(ストリーミング)配信専門会社であるJストリームでは、国内随一の配信実績を持ち、高度な運用技術を用いた高品質なネットワークと多様な負荷分散技術により、同時に数万人が視聴可能な大規模配信にも対応している。今般システムを更改し、同時に個人データのセキュリティ強化を図るためにセキュアスカイ・テクノロジーの『Web脆弱性検査サービス』を採用した。検査は2006年6月に開始されている。導入したサイトは、Jストリームとその子会社CO3(シーオースリー)が構築を行った簡易型コンテンツ課金・DRMプラットホームである「デコパ」である。
コンテンツ課金プラットフォームデコパのシステムを強化
Jストリームでは、従来からサーバやネットワークセキュリティには最大限配慮しており、アプリケーション開発に関してもクロスサイトスクリプティング対策など都度エンジニア教育を行ってきた。
同社では過去、一度もトラブルがないものの、多発する個人情報流出事件、なりすまし、情報改ざん等のWebアプリケーション脆弱性を狙った攻撃に対する厳重な備えとして、専門家の診断サービスを受けることにした。
それが、セキュアスカイ・テクノロジーの『Web脆弱性診断サービス』である。従来の自社エンジニアによるプログラミングレベルの配慮に加えて、個人データを確実に守る為のシステムを構築することを最優先とした動きである。
今回の診断の実施対象は、「デコパ」と某顧客のWebシステムの2サイト。実施手段は、セキュアスカイ・テクノロジーの自社開発ツールにより、設定されている攻撃手法を自動的に実行して診断する方法(ツール診断)と、経験豊かな技術者による擬似攻撃を行い、Webアプリケーションの脆弱性を診断する方法(手動診断)とである。
これらは、アプリケーションロジックが複雑であっても対応可能であり、またテストパターンの網羅性、テスト時間、コスト共に効率の良い最も効果的な診断方法である。Web脆弱性検査期間は、2サイトで報告会まで含めて2週間程度であった。
進化し増殖し続ける脅威からWebを守る国内唯一の専門集団による診断と設計支援サービス
企業において、Firewall、IDS/IDPの導入をすれば、セキュリティ対策は万全であるという常識は、もはや崩れてきた。Webアプリケーションへの攻撃は、公開されているサービスの為に許可された通信を利用して行われるため、これまでの方法では防御することができないのである。これに対する防御方法は、Webアプリケーションを診断し、脆弱性の有無を確認し、脆弱性を修正することである。
これらの検査を行う国内唯一のWebアプリケーションのセキュリティに特化した会社が、セキュアスカイ・テクノロジーである。同社の事業コアは、ユーザの Webアプリの脆弱性を診断する『Web脆弱性診断サービス』と、Webアプリの開発を支援する『Webセキュアプログラミング設計支援サービス』である。
前者では自社ツールを利用した検査と経験豊富なSEによる検査を行い、後者ではWebアプリの開発段階から脆弱性を極力排除することを考慮したセキュアプログラミング設計支援を行っている。
診断メニューは目的に応じて3種類用意されている。ライト診断、スタンダード診断、プロフェッショナル診断である。サーバ台数により検査サービス料金が加算されることはない。国内に30社ほどある脆弱性検査サービスを提供する企業の料金体系と比較すると、セキュアスカイ・テクノロジーの診断サービスは約 40%~50%ほどコストダウンが図れる。
またWebアプリケーション検査専門会社として、検査サービス、設計支援サービスを提供するものの、市販製品の販売を行わないことも同社の特長となっている。あくまでも、ユーザ側視点に立ったサービスを提供することでインターネットの世界をより安全に利用出来る環境づくりに寄与したいと考えている。Jストリームがセキュアスカイ・テクノロジーのサービスを選択した理由は、ユーザに安心して利用してもらえるサービスを提供することを、第一に考えている部分に共感を得たと同時に、最も必要であることを再認識したからである。
国内最大級の動画配信ネットワークシステムで
顧客情報のセキュリティをセキュアスカイ・テクノロジー自社開発ツールで確保
数多くの企業、ユーザから大量のデータを預かっているJストリームにとっては、データが不正に改ざんされたり、漏えいしたりした場合の影響は甚大なものになる。
システムの利便性を保ちつつ、顧客情報のセキュリティに関しては絶対に守らなくてはならない。セキュアスカイ・テクノロジーが提供するWeb脆弱性診断サービス結果について同社では、「Webアプリケーション開発において、セキュリティに対する対策はある程度は考慮しているつもりだったが、一口にWeb アプリの脆弱性といっても、SQLインジェクションやクロスサイトスクリプティングなど様々な種類があり、それらすべてに対応するには、やはり専門家の視点やテストが重要だと認識しました。またWebアプリの脆弱性のほとんどは開発時の些細なミスに起因としていると痛感しました。
Webアプリのクオリティを高めるための要素として、Webアプリの脆弱性テストというのは、今後弊社にとって重要なファクターになると思います」
(三山 悟氏 上席執行役員 モバイル商品部担当、システム開発担当 技術部長)という。
今後もJストリームでは、『Web脆弱性診断サービス』パートナーとしてセキュアスカイ・テクノロジーによる提供サービスが利用され、リッチコンテンツ市場の急速な拡大への対策として働き続けることになる。
セキュアスカイ・テクノロジーのWeb脆弱性診断サービスは、Jストリームのように取扱量の多いコンテンツ配信業者をはじめ、セキュリティが企業価値に直結する業界において数多くの導入実績があり、すでに不可欠なサービスとなっている。本格的ブロードバンド時代の到来により、インターネットビジネスを安全に遂行し、法制度へのコンプライアンスを維持していく重要な役割となることは間違いないだろう。
会社情報
| 会社名 | 株式会社Jストリーム |
|---|---|
| 所在地 | 〒150-0002 東京都渋谷区渋谷3-25-18 渋谷ガーデンフロント10F |
| 業務内容 |
(1) インターネットや携帯電話網等を利用した、映像/音声/画像データ等の配信サービス (2) 映像/音声/画像データ等の配信に関連する各種ASPサービス (3) 映像/音声データの配信に関連するソフトウェア・ハードウェア等の開発・販売 4 ング |
| 会社名 | 株式会社CO3(シーオースリー) |
|---|---|
| 所在地 | 〒150-0002 東京都渋谷区渋谷3-25-18 渋谷ガーデンフロント10F |
| 業務内容 |
コンテンツ課金プラットフォーム事業(会員管理・課金ASP、DRM ASP) サーバーマネジメント事業 リッチコンテンツビジネス支援事業 |
