【インターネットを安全に】Webアプリケーションセキュリティのスペシャリスト“セキュアスカイ・テクノロジー”です
- HOME
- News & Topics
- 2008年以前
- 【お知らせ】SST主催『Webアプリケーションセキュリティ対策セミナー 』レポート
【お知らせ】SST主催『Webアプリケーションセキュリティ対策セミナー 』レポート
2008.12.11up
2008年11月14日に開催された、当社主催『Webアプリケーションセキュリティ対策セミナー 』は、多くの方のご参加により盛況の内に終了いたしました。ご多忙の中ご参加いただき誠にありがとうござました。皆様の当日の各セッションの概要についてご紹介いたします。
会場の様子
懇親会の様子
冒頭挨拶「ご挨拶と今後のSSTの事業戦略」
株式会社セキュアスカイ・テクノロジー 代表取締役 乗口 雅充
2006年4月の創業から3年目、Webアプリケーション診断をコアに事業展開してきたSSTが、これまでのユーザー様のご支援に感謝を申し上げるとともに、事例紹介を交えてSSTの事業説明を行いました。さらに、Webアプリケーション診断会社から「Webアプリケーションセキュリティ・ソリューション企業」への進化を志向し、着手しつつある事業戦略を説明いたしました。
基調講演「Webアプリケーション脆弱性に対するリクルートの取組み」
株式会社リクルート 情報セキュリティ室 松尾 秀樹 様
株式会社リクルートは「リクナビ」「じゃらん」など非常に多くのWebサイトを運営されています。松尾様からは、リクルートのWebアプリケーション脆弱性対策に取り組んできた歴史、実施体制やプロセス等について、具体的な事例を交えてお話いただきました。本レポートでは具体的にご紹介できませんが、企業のWeb関連業務、リスク管理関連業務等に従事している、あるいはこれからWebアプリケーション脆弱性対策に取り組もうとしている方に非常に参考になるお話でした。
セッション1「Webアプリケーション脆弱性動向と対策アプローチ」
株式会社セキュアスカイ・テクノロジー 取締役 歌代 和正
当社取締役であり、また有限責任中間法人 JPCERTコーディネーションセンター代表理事でもある歌代からは、ソフトウエア等の脆弱性関連情報に関する届出状況[2008年第3四半期(7月~9月)](IPA/JPCERT)および当社の診断実績を元に、Webアプリケーション脆弱性動向についてお話しました。依然として世の中に存在するWebサイトの脆弱性は減っておらず、特にクロスサイトスクリプティング、SQLインジェクションの被害については拡大傾向にあり、今後も注意が必要です。また、それらの脆弱性のうち、認識されているにも関わらず修正が長期化しているケースもあります。今後は、Webアプリケーションの開発段階から脆弱性を作りこまないようにするということをより意識していくべきだろうと述べました。
次に、Webアプリケーション脆弱性診断を実施する必要性について、Webサイト運用者(発注者)の視点でお話しました。脆弱性診断のコストや脆弱性が発見された場合の改修コストについては、発注者と開発会社それぞれどのように負担するかが業界全体として不明瞭である現状についても触れました。また、当社のお取引事例として、株式会社Jストリーム様、株式会社電通国際情報サービス様、株式会社シスラボ様の事例についても紹介させていただきました。
セッション2「セキュアプログラミング教育事業への取組み」
株式会社セキュアスカイ・テクノロジー 取締役 園田 道夫
当社取締役園田からは、セキュアプログラミングの必要性と問題点、当社のセキュアプログラミング教育事業の取組みについてお話しました。脆弱性修正に関わるコストは、Webサイト運用開始後に行うより、設計や開発段階で脆弱性対策を施す方が格段に低コストで済むと言われているものの、Webアプリケーション開発現場では、脆弱性を作らない設計・コーディングの知識の習得は、様々な理由からハードルが高いと言えます。Webアプリケーション開発現場で一般的に行われている対策は、情報に敏感な技術者がWebアプリケーション脆弱性に関する情報を入手し、それを社内で共有する。または書籍を購入することにより知識をシェアする。定評のあるパッケージを利用する。現状ではそのような状況ではないでしょうか。しかし、書籍のサンプルコードにも脆弱性を含むものがある等、そのような対策では限度があります。また、安全でないWebサイトができあがってしまう背景には、開発スケジュールの問題等々さまざまな要因があると言えます。
そのような状況の中、当社では、Webアプリケーション開発に携わる技術者、発注者(Webサイト運営サイド)、エンドユーザー内のインハウス開発メンバーそれぞれに適した内容のセミナーを実施しています。詳しくは、当社のセキュリティ教育についてをご覧ください。
セッション3「SaaS型WAFサービス事業プレリリース」
株式会社セキュアスカイ・テクノロジー 営業企画部長 大木 元
当社営業企画部長大木からは、業界初となるSaaS型WAFサービスのプレリリースについてお話ししました。自社のサイトの脆弱性を、開発エンジニアへの教育やWebアプリケーション診断だけでなく、Web Application Firewall(WAF)で防御したいというニーズも年々急増しています。しかしながらWAFのコンセプトは、非常に有益であるものの、コスト、導入の手間に比べ、その効果が不明瞭な為、現時点ではあまり利用されていないのが現状です。実際に既知のWAFを導入したものの、不満を持っているSIer様の声にも触れました。SSTのSaaS型WAFサービスでは、導入・運用の手間を最小限とし、競合機器の約10分の1の価格でご提供することを予定しています。また、現在提供している診断サービスとシームレスに融合することにより、防御効果を明確化しシグネチャ更新ともリンクさせていきます。従来のWAFが抱えていた問題点をほぼ全て解決するSSTのSaaS型WAFサービスは2008年初旬より提供開始予定です。詳しくは、当社のHPのWebアプリケーションファイアーウォールについてをご覧ください。
