【インターネットを安全に】Webアプリケーションセキュリティのスペシャリスト“セキュアスカイ・テクノロジー”です
- HOME
- Webアプリケーション診断
- 導入事例
![[導入事例] 電通国際情報サービス様](images/h3_example_02.gif){kind=small}
【株式会社電通国際情報サービス様 インタビュー】
事業推進本部
エグゼクティブ プロジェクト ディレクター
渥美 俊英 様
事業推進本部
開発技術センター部長
松中 昭二郎 様
事業推進本部
開発技術センター
開発基盤技術グループ
富田 聡 様
株式会社電通国際情報サービス(以下、ISID)は、経営戦略立案、システム構築、マーケティング・ノウハウなどの強みを生かして、製造、金融、産業、連結会計などを中心に幅広いソリューションの実績を持つ。また、電通の情報システムや、電通グループ各社にシステムを提供するなど、電通グループとその顧客に対しても高品質なITサービスを提供している。
1995年に米国ネットスケープ・コミュニケーションズ社との国内初の提携により、インターネットのビジネス利用システム構築事業に進出したのを始めとして、インターネットバンキングやe-コマースサイトの構築など、インターネット技術を活用したシステム構築経験を豊富に持つ。
その同社が、インターネット関連の開発案件におけるWebアプリケーションのセキュリティ施策の一環として、セキュアスカイ・テクノロジーが提供する「Webアプリケーション診断」サービスを採用している。
いち早くWebアプリケーションのセキュリティ施策に組織的に取り組む
近年、SQLインジェクションやクロスサイトスクリプティングといったWebサイトを狙った攻撃の増加に伴い、Webアプリケーションに対する脅威は広く知られるようになりつつある。脅威が認知されるとともに、Webアプリケーションのセキュリティ施策は、開発会社や運営者にとって重要な課題として認識されるようになってきた。ISIDでは早い段階から組織的にこれらへの技術対策を講じてきた。
90年代後半、ISIDは国際VANを使ったメガバンクの法人向けWebバンキング・システムを構築し、今日ではインターネット上の商取引の常識となっているSSL128bitを日本で初めて実現した。当時それまではSSL128bitは米国から輸出禁制下にあった時期である。ISIDは当初からセキュリティに関する強い問題意識を持ち、システムの検証にあたっては侵入検査ツールなども積極的に利用した。2001年頃からクロスサイトスクリプティングなどの新しい脅威が現れてくるが、ISIDでは早くから安全なWebアプリケーションを構築するためのセキュリティ技術の研究と専門チームの育成が行われ、全社横断的な技術支援やガイドラインの整備など、組織的なセキュリティ施策に取り組んでいた。
品質を高めるための厳しい独自基準とセキュリティ・レビュー・ボード(SRB)
インターネットに公開するWebアプリケーション案件やセキュリティ要求が高いイントラネット案件の開発において、ISIDは自ら厳しい社内基準を設けている。セキュリティ・レビュー・ボード(SRB)と呼ばれるセキュリティ品質に特化した技術レビューのプロセスがそれである。これは、セキュリティのリスクがあるかどうか、またそれらの対策として何が行われているかの確認をするもので、詳細なチェックシートや開発ガイドライン、および教育カリキュラムが整備されている。
SRBによるチェックは、開発案件の提案時、計画/設計時、実装/テスト時、出荷判定など、開発のフェーズにより度々実施される。特に実装段階では”脆弱性検査SRB”が行われ、設計時に計画したセキュリティ対策が適正に実装されているか、脆弱性があるかどうかを実証的に確認する。その具体的方法として、ソースコードのセキュリティ脆弱性検査ツールを使った静的検査、Webアプリケーションの脆弱性機能評価ツールを使った動的検査、および、第三者によるWebアプリケーション診断を用いる。
Webアプリケーションの品質向上のためのベストプラクティスとは
静的検査には「Fortify SCA」をISIDの標準として採用している。ソースコードを直接解析するため、結合テストを待たずに単体テストの段階で、早期にコーディング上の問題を発見することができる。静的検査と動的検査の両方を行うのは、それぞれの技法で発見できる脆弱性の得意分野が異なるためだ。更に、セッションを利用した認証などは解析ツールに加えて、個別に有識者による実証検査も行う。また、顧客の要件やプロジェクトの特性により、第三者による検査という観点が重視されるケースもある。このような第三者による実証検査として、セキュアスカイ・テクノロジー(以下、SST)が提供する「Webアプリケーション診断」サービスがISID社内では推奨されており多くの実績がある。
「Webアプリケーションのセキュリティ品質を担保するには、広く深い知識と日進月歩の変化への追従力が必要。プロセスとツール・技法による対応に加えて、高度な技術力を持つ有識者の洞察力など、人間系による診断も重要だ。この点で、診断の準備段階から報告会の実施までのすべての工程において、SSTには安心感がある。」と渥美氏は述べる。このことがWebアプリケーションのセキュリティ施策に早期から取り組み、数多くのツールやサービスも見てきたISIDが継続して同社に診断を依頼することにつながっているのだという。
会社情報
| 会社名 | 株式会社 電通国際情報サービス |
|---|---|
| 本社所在地 | 〒108-0075 東京都港区港南2-17-1 |
| 事業内容 |
|
