Enterprise Watch
最新ニュース

ラック、予防的観点の新セキュリティプロフェッショナルサービス

Webアプリ脆弱性検査では修正までカバー

執行役員の内田昌宏氏
 株式会社ラックは6月17日、新たなプロフェッショナルサービスを発表した。さまざまな脅威に対する情報セキュリティを実現するために、「IT実装コンサルティングサービス」「ログ統合管理システム導入・運用サービス」「アプリケーションセキュリティ実装サービス」の3つのサービスを同日から提供する。

 IT実装コンサルティングサービスは、包括的な情報セキュリティ実装のための設計、構築、運用までをワンストップで提供するもの。流れとしては、1)現状調査、2)脅威の抽出、3)リスクアセスメント、4)管理策の対策方針、5)有効性評価、6)実装計画のロードマップ策定の6ステップ。

 執行役員の内田昌宏氏は、「ごくごく一般的な流れだが、計画の策定がゴールではなく、具体的に対策を実装するのが目的。網羅的・俯瞰(ふかん)的にリスク分析を行いながら各ステップを効率的に進めつつ、最終的に中立ベンダとして最適な製品選定まで行って、確実に脅威から保護できる環境まで導いていく」と語る。そのために「ISMSやCOBITなどのフレームワークをそのまま当てはめるのではなく、最適な形にカスタマイズするほか、有効性評価でも具体的に数値化しながら、裏付けをもったIT実装のロードマップを策定する」と説明。セキュリティの“あるべき論”を導くのではなく、現実的な落としどころへ導くものである点を強調した。


網羅的・俯瞰(ふかん)的に現実的な落としどころへ導いていく 計画の策定がゴールではなく、具体的に対策を実装するのが目的

ログ統合管理システム導入・運用サービスの流れ
 ログ統合管理システム導入・運用サービスは、IT実装コンサルティングサービスの結果に基づいて、ログを活用した内部脅威対策システムと運用体制を構築するもの。単にシステムを導入することが目的ではなく、IT基盤に潜在するリスクを早急に発見できるようにするのが目的。

 内田氏は、「現状のログ管理システムの利用状況は、せっかくログを取得しても事後対策としてのみ分析を行うというケースがほとんど。そうではなく、リスクを見つけ出して予防対処できることが重要。そのために、新規にログ分析を行いたいユーザーだけでなく、有効に活用できていないユーザーも対象として、ログ管理システムを効率化できるようサポートする」としている。

 流れとしては、1)ログ管理の現状調査と評価、2)設計方針の策定、3)要件定義・設計、4)システム構築、5)運用・保守の5ステップ。「特に要件定義・設計が肝で、JSOCにおける2億件/日のログ分析技術やノウハウをもっとも生かせるところ」(同氏)とする。この要件定義に基づいて、最適なログ管理システムの選定から導入、ならびにシステム構築後の運用をラックが代行するようなサービスも予定している。


Web系のシステムにおいて、設計・開発・検証・運用の全行程に対してワンストップのセキュリティ実装を支援
 アプリケーションセキュリティ実装サービスは、特にWeb系のシステムにおいて、設計・開発・検証・運用の全行程に対してワンストップのセキュリティ実装を支援するもの。セキュリティ要件を盛り込んだアプリケーション開発ガイドラインの策定から、ソースコードレベルでの脆弱性チェック、完成したWebアプリケーションの診断など、それぞれの工程にてリスクの洗い出しを実施。さらに見つかった脆弱性に対する具体的なセキュリティ実装まで、一歩踏み込んで行ってくれるのがこのサービスの特長だ。

 Webアプリケーションの脆弱性検査サービスを提供する事業者は多い。現にラックでも、従来より開発ガイドラインの策定や脆弱性チェックなどのサービスを提供している。しかしそれらの多くは、発見された脆弱性を報告するところまでしかカバーされておらず、具体的にどうソースコードを修正すればよいかは、現場の開発者任せになるケースがほとんど。開発主となるエンドユーザーからは悪いところまで直してほしいとの要望もあるというが、修正まで行うとなると、開発元との調整や、Webアプリケーションの仕様にまで深く“首を突っ込む”必要があり、なかなかカバーしきれない事業者が多いのだ。

 それでも今回のサービスでは、「ラックのグループ会社であるA&Iシステムが受託した新規開発案件に対して工程の最初からセキュリティ実装を行うほか、他ベンダが開発を行う新規Webアプリケーションや、すでに世の中に公開されている既存Webアプリケーションに対しても、リスク分析とセキュリティ実装を行う。その上で必要とあれば開発元との調整を行い、仕様書に当社のセキュリティ要件を盛り込んだり、開発終了後の脆弱性チェックなどを行っていく」(A&Iシステム、コンピテンシーセンター 品質保証・技術企画部 セキュリティソリューションチームリーダーの永井英徳氏)という。ここまで踏み込むのは画期的といえる。

 なぜこれが可能になったのか。永井氏は「ラックの豊富なWeb脆弱性情報を活用できること、工数を大幅削減できる脆弱性チェックツールを活用すること、そしてソフト開発にノウハウを持つA&Iのリソースが活用できることによる」としている。仕様の理解のためには、問診表やヒアリングシートを用いて、システム状況の把握に努めるとのこと。

 ラックでは、2008年度の売り上げ目標として、IT実装コンサルティングサービスで1億円(10案件)、ログ統合管理システム構築・運用サービスで2億5000万円(5~10案件)、アプリケーションセキュリティ実装サービスで1億5000万円(10案件)を目指す。



URL
  株式会社ラック
  http://www.lac.co.jp/
  ニュースリリース
  http://www.lac.co.jp/news/press20080617.html

関連記事
  ・ ラック、無償ログ解析ツールを強化-SQLインジェクション3倍増に対抗(2008/06/09)


( 川島 弘之 )
2008/06/17 18:04

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.