エー・アンド・アイ システム コンピテンシーセンター 品質保証・技術企画部 セキュリティソリューションチームリーダー 永井英徳氏

アプリケーションセキュリティ実装サービスを担当するエー・アンド・アイ システムのコンピテンシーセンター 品質保証・技術企画部 セキュリティソリューションチームリーダーの永井英徳氏はSQLインジェクションによる攻撃が現在も猛威を振るっている背景について、「ユーザー企業ではアプリケーション開発に関して何らかのフレームワークを持っていることが多く、"データアクセスの際にはこの関数を呼ぶ"といった内部的な規定が用意されている。それを守れればまず問題ないのだが、システムの中で1 - 2割程度、例外的な処理でその関数を呼べない状況が生じることがあり、そこでの対応が脆弱性の原因になったりする」と説明する。

こうした問題は開発者としても気づきにくいため、ラックが提供するアプリケーションセキュリティ実装サービスなどで脆弱性の確認が行われることについて、「開発ベンダの多くは、第三者に脆弱性をチェックしてもらえるならしてもらいたいと思っているところが多いだろう。開発期間が短納期化しているため、脆弱性チェックなどまでは手が回らないことが多いし、テストをしたとしても、万全かどうかの自信はもてないことが多い。セキュリティの専門家がチェックするとなれば、受け入れてもらえることが多いように思う」とし、開発者のアラ探しといったネガティブな要素はないという。

「ユーザー企業、開発ベンダ、そして我々の3者とも、目指すゴールは共通で、"便利で安心、安全なシステム"を実現したいと思っている」(永井氏)

このためラックでは、アプリケーションの脆弱性について中立的な立場で現状を指摘し、改善点を提案する、という形で取り組む。

パッケージではなく、切り口の提示

ラックでは、業界標準として使われているさまざまなフレームワークの規定などを踏まえ、独自のフレームワークを構築し、さらにこれをユーザー企業の状況に合わせて柔軟に適用している。このフレームワークでは、セキュリティレベルを大きく5段階で診断するが、一般的なユーザー企業の場合、レベル2 - 3辺りに位置することが多いという。内田氏はこのレベルについて「全社で統一されたルールがあり、周知されてはいるが、一部個人依存になっている運用や事後対応されているプロセスがある、というくらいの段階」だと説明する。そして、この状況から出発してより高いレベルのセキュリティを実現していくために取り組むべき課題が必ずしも今回の3種のサービスでカバーできるというものでもないという。同氏は「今回の3種のサービスはパッケージという位置づけではなく、ユーザー企業が直面する課題を分かりやすく示したいわば"切り口の提示"」だという。

ラックではさまざまなセキュリティ問題に対応してきた実績を持ち、しかもすでに運用中のシステムに対して詳細な分析を行い、対応策を見つけ出すノウハウを蓄積している。どの切り口から入ったとしても、最終的にはユーザー企業が必要とする方針が得られると期待してよいだろう。コンサルティングサービスは、最終的にはユーザー企業の意欲しだいで得られる成果が大きく変わってくる面があるので、まずは直近の課題に関して相談しつつ、現状分析を経て、それぞれの企業に合ったルートで進んでいくことが可能になるだろう。固定化したメニューを適用するパッケージサービスに比べ、相談次第で柔軟に対応可能なこうしたサービスの提供は、多くのユーザー企業にとって入りやすい入り口となると思われる。