 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
セキュアなWebアプリケーション構築のための「実践的なサービス」 |
||||||||||||||||||
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
Webアプリケーションセキュリティに関しては、情報漏えい対策の観点などから注目があつまってきている。しかし、三井物産時代からWebアプリケーション検査を行ってきているMBSDの調査によれば、「1000ページあたり約830個も発見できる」(MBSDのマーケティング本部長、新井一人氏)とのことで、現状のWebアプリケーション環境はまだまだ万全とはいえない状況だ。 それらの脆弱性のうち、特に緊急を要するものはほぼ10%ほどだというが、新井氏は「こうしたことは、設計者のセキュリティ知識が十分でないために起こる。つまり、セキュリティ要件として何を定義すればいいのかがわかっていないということ」と述べた上で、「特にセッション管理などは、Webサイトの設計段階から意識していないと改善できない。入力値のチェックやサニタイジング(無害化)も開発時からの取り組みが必要」と語り、まずはWebアプリケーションセキュリティに関する知識の底上げが必要だとした。 ■ トレーニングとツールでユーザーへナレッジを提供 そこで同社では、セキュアなWebアプリケーションの構築を支援するため、WebSecナレッジサービスを提供する。同サービスは3つのメニューから構成されており、まず最初の段階では、Webアプリケーションセキュリティについて学習する1日間のトレーニングコース「WebSec教育サービス」を実施。「Webアプリケーションセキュリティの検査を行うコンサルタントが、要件定義、設計、実装、環境設定の各フェイズにわたって、注意しておかなければならないセキュリティポイントを説明する」(新井氏)。続いて、「トレーニングによって得た知識を陳腐化させず、実際の現場で活用できるよう」(同氏)、「WebSecナレッジツール」をダウンロード提供する。このツールはExcelベースで提供されるもので、これから設計しようとしているWebサイトの条件(プラットフォーム、使用言語など)から、検討すべき項目が記載されたチェックシートを作成する。実作業では、このチェックシートの項目を1つ1つチェックしながらWebアプリケーションの構築を行い、セキュアな環境の実現を目指していくという。 また、グラフによって達成状況を把握する機能も備えられ、実施内容を視覚的に確認しながら進めていけるよう配慮されている。さらに、各チェック項目には、詳細説明のリンクも用意されており、オンライン環境で使用している場合には、MBSDのWebサイト内にある解説ページを参照できる。それでも理解できないような場合は、メールによるサポートを受けることも可能だ。
■ 網羅性の高い検査サービスでユーザーをフォロー 最後のステップとしては、Webサイトの脆弱性検査サービス(オプション)が提供される。これは、すでに提供されている脆弱性検査サービス同様、MBSDのコンサルタントがWebサイトのセキュリティをチェックするもの。新井氏は「コンサルタントが攻撃者の思考でWebサイトを調査するため、通常の検査ツールでは把握できないような内容もカバーできる」と、競合他社に対するアドバンテージを主張していた。なお、WebSecナレッジサービスの利用者は、一般への提供価格の6割程度で検査サービスが受けられるという。価格体系は、利用者数と期間によって決められ、例としては3カ月、5名の場合で初期費用が63万円から、利用費用が52万5000円から。1年、5名の場合は、それぞれ63万円から、189万円から。 MBSDでは、「チェックシートを開発委託先へ要件として提示することで、セキュアなアウトソーシングも可能」としており、Webアプリケーションの開発を行うSIerのほか、ユーザー企業も対象に販売を進める意向。同社では、2005年3月までに50社への販売を目標としている。 ■ URL 三井物産セキュアディレクション株式会社 http://www.mbsd.jp/ プレスリリース(PDF) http://www.mbsd.jp/pdf/1095046718_3764.pdf
( 石井 一志 )
|
|
|
|
|
|
|