SSTが考えるWebサイトセキュリティ

  1. HOMEHOME
  2. 私たちのサービス私たちの原点
  3. SSTが考えるWebサイトセキュリティ

日本企業のWebセキュリティの裾野を広げ、底上げを図りたいという願い

SSTの原点はとてもシンプル。
それは「インターネットを安全にしたい」という思いです。

規模を問わず、ほとんどの企業にとってWebサイトの運営が必要となった現在、
Webセキュリティが依然として一部の特別な企業にしか手の届かないものであってはなりません。

社内に専門家がいなくても、サイトの目的や事業規模に応じた手頃な費用で安全なサイト運用が可能で、
お客様も安心してサイトを利用できる…
日本の多くの企業がそんなWebサイトセキュリティを享受できるようになることを目指して、
私たちはその第一歩を、Webアプリケーションの脆弱性診断からスタートしました。

創業~

業界最高水準の技術を前提に『診断』サービスを開始

検出率の高い診断ツールの独自開発

SSTでは創業当初から、Webアプリケーションセキュリティに関する高度な専門性と多くの診断経験を持つ技術者が集結しており、そのノウハウを投入した独自の診断補助システムを開発することで、スピーディーかつ高い検出率で脆弱性を見つけ出すための効率的な診断手法を追求してきました。

最新の脆弱性情報と、診断の現場から得られる実践的なノウハウを反映

診断手法効率化の一方で、最新の脆弱性情報と、過去の診断結果から得られた実践的なノウハウについては診断内容への迅速な反映を徹底し、常に精度の高い診断を維持できるよう努めてきました。

高度なセキュリティラボとしての機能

脆弱性診断に直接反映されるもの以外にも、当社技術陣を中心にWebセキュリティ分野の技術開発を積極的に行ってきました。社外からもセキュリティ業界各分野を代表する顔ぶれを技術顧問として迎え、次代のWebセキュリティを研究するセキュリティラボとして常に活発な活動を続けています。

2006~

診断を効率的で身近なものにするためのサービス革新

料金体系の明確化と大幅なコストダウン

SSTでは、脆弱性診断メニューの明確化とコストダウンにいち早く取り組みました。
価格体系やオプション料金についても原則として公開し、従来不明確でブラックボックス化されていることの多かったセキュリティ分野のサービス革新を率先して進めてきました。

事前のアプリケーション調査を一定の範囲で無償提供

従来お客様側の役割とされることの多かった対象サイトの事前調査や画面遷移図の作成を、SSTが一定範囲で無償提供することで、お客様負荷を大幅に軽減しました。

診断実施後の修正個所を無償で再診断

SSTでは、診断終了後も、脆弱性改修時のお問い合わせ対応や再診断を無償で実施し、対策完了までのフルサポートを実現しました。

2008~

設計開発段階での予防策=『教育』『ガイドライン』への取り組み

サイト開発に携わる組織/人の面の対策

SSTでは2008年以降、開発者の方々に対する「セキュア設計/プログラミング教育」と、組織に対する「ガイドライン策定」の支援サービスにも積極的に取り組んできました。「診断」がサイトやアプリケーションの状態を確認するものだとすると、「教育」と「ガイドライン」は、人や組織に着目した対策といえるでしょう。

結果的に個別案件ごとの負荷を軽減

Webアプリケーションのセキュリティには、「要件定義/設計/開発」→「テスト/改修」→「運用」と大きく3つのフェーズが存在します。診断は紛れ込んでしまった脆弱性をテスト/改修フェーズで発見するためのものですが、要件定義/設計/開発フェーズで脆弱性を作りこまないよう予防することで、開発費の面からもスケジュールの面からもより効率的となり、結果的に各案件の負荷を軽減することが可能です。

Webアプリケーションセキュリティの 「フェーズ」MAP

2009~

『防御』まで提供してはじめてSSTのWebセキュリティが完成

機能し続ける生きたサイトを、日々守り続ける=「WAF」

診断/教育/ガイドライン策定は、実際にセキュアなWebサイトを公開するための準備の段階です。
しかし、日本のWebサイトセキュリティの底上げを真に目指すのであれば、「Webアプリケーションの安全を"今すぐ"守る」ことのできる手軽な手法はないだろうか?
これがSSTにとって創業以来の課題でした。
今あるWebサイトを止めず、手を加えることなく導入でき、もし脆弱性があってもその場で無害化できる手段。そこで着目したのがWebアプリケーションに特化したファイアウォール=「WAF(ワフ)」でした。

従来型WAFの導入/保守コストの障壁への挑戦

WAFは一般的なファイアウォールと違ってデータの中身をアプリケーションレベルで解析し、Webアプリケーションの脆弱性を無害化できる便利なもので、以前からいくつかの製品が存在していました。
しかし従来のWAFは、ハードウェア上のアプライアンス、またはサーバに組み込むソフトウェアの形で提供されるもので、導入費・サポート費とも高額な上、セキュリティ専門家による運用が必要だったり、導入までのチューニングが難しかったり等の難点が多数あったため、コンセプトは非常に魅力的でありながらも普及には至りませんでした。
私たちの挑戦は、このWAFの「限界」を打ち破ることにありました。

世界初のSaaS型WAFサービス「Scutum(スキュータム)」を
2009年より提供開始

2009年6月、SSTはWAFを世界で初めてSaaS型のサービスとして提供開始しました。
サービス名の「Scutum(スキュータム)」は"盾"を意味するラテン語で、お客様のWebサイトを文字通りインターネット上の盾となって攻撃から守るものです。SaaS型のため、お客様側では新たな自前の設備を持つ必要がなく、サイトを止めることなく簡単に導入でき、低コストかつ短期利用も可能。
「Webアプリケーションの安全を"今すぐ"守る」ための手段に大きく近づくことができました。

運用の手間が不要で自動的に進化する、顧客視点の防御サービスが実現

Scutumでは、SST側でセキュリティとシステム運用のプロが常時管理し、最新の脆弱性対策も随時自動的に反映されるため、WAF導入後の運用負荷もなくなりました。
価格も明確な月額制とすることで、Webアプリケーション診断と同様、顧客視点のセキュリティサービスとして広くご利用いただけることを目指しています。

クラウド環境にも適応した、
新時代のWebアプリケーションセキュリティの役割は続きます

また、従来のWAFがほとんど対応できなかったクラウド環境のサーバにも導入が容易であるなど、Scutumは新時代のWebサイト運営においてさらに利用しやすいものになると考えています。
今後もSSTのWebセキュリティサービスの中心として、Scutumのレベルアップを進めてまいります。

2013~

Webで事業を行う全てのお客様に、効果的で実践的なセキュリティを

現在の日本の一般企業で、Webサイトセキュリティに関して明確で組織的な対応が準備されているのは まだごく一部です。
脆弱性対策が全くされないまま数多くの個人情報を扱っているWebサイトも無数に存在することでしょう。
しかし、一律に「あるべきセキュリティの姿」を押し付けるのは現実的ではありません。

Webサイトセキュリティの 「レベル」MAP

Webサイトセキュリティの裾野を広げ、底上げを図るため、
SSTでは、Webセキュリティに関する新たなコンセプトを提唱してまいります。
"完璧なセキュリティ対策"を求めるのではなく、各サイトの目的やそれぞれの事業内容を踏まえた上で、
まずは最低限のレベルに達して頂くこと、いわば「合格点」のセキュリティを手にするにはどうすれば良いか。
「合格点」のセキュリティのポイントとなるのは、セキュリティ担当者やシステム責任者の方だけでなく、
各事業部門でサイト制作/運営の責任を持つ方々や、経営者の方々です。
SSTは今後、こうした皆様とともに、皆様の事業利益に直結するWebセキュリティのあり方を探求していきたいと考えています。具体的なご提案や成果については随時ご紹介いたしますので、どうぞご期待ください!

Webセキュリティをざっくり理解するための3つのMAP

Page Top