企業におけるDX（デジタルトランスフォーメーション）の推進に不可欠なWebアプリケーション。そこに内包された脆弱性が悪用されて、侵入被害、情報漏えいなどのインシデントが発生しているという報告が後を絶ちません。
そうしたリスクを排除するには、Webアプリケーションの設計から開発、テスト、更にはリリース後の運用といった各フェーズにおいて、セキュリティに配慮した継続的な取り組みを行う事が不可欠です。

ここでは、CTCが支援したお客様の事例を参照しながら、脆弱性対策の取り組みをいかに進めていくべきかを検討したいと思います。

▼ 目次
・1.Webアプリケーションの脆弱性をいかに排除するか

・2.Webアプリケーションの脆弱性診断にかかわる負担が増大

・3.脆弱性対応に詳しくないメンバーも無理なく取り組めるように

・4.CTCのセキュリティサービス

1.Webアプリケーションの脆弱性をいかに排除するか

サイバーセキュリティにかかわる脅威が引き続き高まっています。特にDXの時代にあって、企業がデジタル化されたサービスを核とした事業戦略の遂行を目指すうえでは、ますます巧妙化を遂げ、多くの企業に甚大なダメージを与え続けているサイバーセキュリティ上の脅威に対し、いかなる対策を講じていくかが経営上の重要なテーマだといえます。

　なかでも企業においてDXを支える不可欠なインフラであるWebサイトやWebアプリケーションは、常にサイバー攻撃の脅威にさらされています。これについては、例えばSQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱性を突いた攻撃のリスクが、かねてより声高に指摘されてきました。しかし、現状においてもこれら攻撃に対し無防備な状態でサイトやアプリケーションを運用している企業も少なくないというのが実情です。

　特に、それらWebアプリケーションが顧客に向けたサービスとして提供されているような場合には、さらにリスクは大きく、ひとたび情報漏えいなどのインシデントが発生してしまうと、それによって企業が受ける有形無形の被害は実に甚大。企業イメージの毀損はもちろん、信用の失墜、場合によっては損害賠償の責を負うといったことにもなりかねません。

　これに対しては、いわゆる「セキュリティ・バイ・デザイン（Security by Design）の実践に基づいて、提供するサービスの企画・設計段階からセキュリティ対策を適切に講じる一方、そのリリースに先立ってはサービスがセキュリティ上の脆弱性を内包していないかを十分なテストを実施してしっかりと精査し、最終的にすべての「穴」をもれなく防いでおくという取り組みが求められます。

　伊藤忠テクノソリューションズ（以下、CTC）では、例えばWeb脆弱性診断サービスなどの提供を通じて、そうしたお客様のWebセキュリティの担保に向けた取り組みを支援しています。そのほかにも、お客様からのご相談を受けて、最適なソリューション導入に向けたアドバイスなども行っています。今回は一例として、NXワンビシアーカイブズ様のケースを紹介します。

2.Webアプリケーションの脆弱性診断にかかわる負担が増大

NXワンビシアーカイブズ様は、1966年にワンビシ倉庫株式会社として設立。近年ではデータ・ソリューション事業にも注力しており、例えば電子契約・契約管理サービス「WAN-SIGN」など、顧客業務のデジタル化を支える多彩なソリューションを展開しています。

　「当社ではアナログ、デジタルを問わず顧客の重要な情報を扱っています。それを安心安全に保管・管理することこそ大前提であるというのが我々の考えです。そのため、サイバーセキュリティは非常に重要なものと位置づけています」とNXワンビシアーカイブズのIT管理室長でありCSIRTグループ長でもある関晋氏は語ります。実際、同社では経営層を含めて、セキュリティ対策についての投資を不可欠なものと捉えており、そうした意識に基づいて、従来から境界型の多層防御の構築や、自社でのCSIRTの運用にもかねてより取り組んできました。

　特にデジタル領域では、すでに述べたようなソリューションをSaaS型で提供しており、Webアプリケーションの構築を自社の開発部門において進めています。「セキュリティに特化した担当者は配置していません。いくつかチェックポイントを設けて工程審査というかたちでセキュリティチェックを行っています」と関氏はいいます。

　具体的には、IPA（独立行政法人 情報処理推進機構）が公開している「安全なウェブサイトの作り方」を参考にチェックシートを作成してチェックを行う一方、設計の段階からインフラ部門がセキュリティを考慮するかたちでサービスをデザイン。あわせて、Webアプリケーションのリリースに際しては、所定のツールを用いた脆弱性診断を実施しています。

　「以前は、アプリケーションテストのシナリオを作成して脆弱性診断を実施し、そこで問題が指摘されたら、修正を行って改めて診断するというプロセスを繰り返していました。市販の脆弱性検知ツールを用いていましたが、それを扱うためのスキルが必要で、サポートなどに問い合わせをしながら運用していたため工数もかさみ、なかなかスピードも上がらず、ツールの使用者、管理者および運用者の全員が疲弊している状況だったのです」と関氏は当時を振り返る。

3.脆弱性対応に詳しくないメンバーも無理なく取り組めるように

こうした問題については、脆弱性診断を外部に委託するという選択肢もありましたが、Webで提供するサービスの開発が増え、あるいは既存サービスへの機能追加を行う頻度が高くなっているという状況もあって、内製でなるべく工数をかけずにセキュリティ品質を維持することが同社にとっての課題でした。そこで同社が相談を持ちかけたのがCTCでした。

「CTCには、以前からインフラ周りのネットワーク機器や、ソフトウェアの保守をお願いしていましたし、最近ではDXのシステム開発における要件定義などでもサポートしていただいているという経緯もありました」と関氏。そこでCTCから勧められたのが、IAST（Interactive Application Security Testing）ツールである「Contrast Assess」の導入でした。

このとき関氏は、念のため開発環境に対応したメジャーな脆弱性診断のプラットフォームもあわせて検討したといいます。「検討しましたが、調べていくうちに従来の診断ツールと大差がなかったり、さらに高度なスキルが必要で、その修得のための有料のトレーニングコースを勧められたりと、こちらのニーズに合ったものがなかったのです。そのなかで、CTCから紹介していただいたツールは、そのコンセプトをお聞きして効果がありそうだと感じ、さっそくPoC（Proof of Concept）を始めました」と関氏は語ります。

　PoCのなかで、製品のコンセプト自体、従来の脆弱性検知ツールとは一線を画するものであることがわかりました。例えば、DAST（Dynamic Application Security Testing:動的アプリケーションセキュリティテスト）ツールでは、試験パターンで網羅できない脆弱性は検知できず、脆弱性を見逃してしまうケースが多くなってしまいます。また、SAST（Static Application Security Testing:静的アプリケーションセキュリティテスト）ツールでは誤検知が多く、セキュリティチームと開発チームが膨大な検知結果の調査が必要で、脆弱性の確認に時間を浪費してしまうという問題があります。

　これに対し「Contrast Assess」は、アプリケーション・サーバーにエージェントを追加するだけで、UI、内部結合、外部結合といった一般的なWebアプリケーションの機能テストを実行でき、脆弱性を自動的に検知できます。このため開発チームのメンバーは、開発段階で問題を把握し、必要な改修を行うことができました。

　PoC実施の結果、同社では同ツールの導入を決定しました。ソースのどの部分に問題があるのかをツールが具体的に示し、修正方法についても詳細にアドバイスしてくれることから、脆弱性対応に詳しくないメンバーでも無理なく取り組めるようになりました。

　「以前は、脆弱性を指摘されると『指摘された』という少しネガティブに反応している印象があったのです。極端な話、動けばOKという考え方を持つ開発者もいました。しかし、今回のツール導入後は、指摘された脆弱性を素直に受け止め、修正することをポジティブに捉えるようになった印象があります。結果として、シフトレフトやセキュアコーディングを意識してコード開発に取り組むようになっています」と関氏は、ツールの導入が開発メンバーのマインドの変革につながっていることを強調します。

　NXワンビシアーカイブズ様では、今後もさらにデジタル領域のビジネスにおける売り上げ拡大を目指していきます。そうしたなか、Webアプリケーションの開発、改修も当然増えていくことになり、セキュリティの担保にはさらに注力していく必要があるとしています。それに向けては、「今回導入したセキュリティ対策製品を活用していく予定です。加えて、ミドルウェアも含めた資産管理と脆弱性管理の統合も、今後は顧客監査などで必要になってくると感じており、改めて検討を進めている状況です。」と語ります。

今回のプロジェクトを振り返り、お客様からは「『内製でなるべく工数をかけずに品質を維持すること』という課題をもとにCTCに相談した結果、紹介されたのが「Contrast Assess」でした。自分達でも調査・検討していたもののこれという製品が見つからずに困っていたなかで、その製品コンセプトから効果がありそうだと感じてPOCを始めました」とコメントをいただいており、お客様の課題にしっかりと向き合い、セキュリティの知見と提案力を活かして最適なソリューションを提案したことが、お客様を成功に導いた要因といえます。

4.CTCのセキュリティサービス

CTCでは様々なセキュリティサービスを提供しており、その中で脆弱性対応に有効なサービスを今回は紹介します。

表１:CTCがご提供するセキュリティーサービスおよび対策製品

＜ご担当者様＞
株式会社NXワンビシアーカイブズ
情報サービス部 IT管理室長

CSIRTグループ グループ長
関 晋 氏

＜ユーザープロフィール＞
会社名　株式会社NXワンビシアーカイブズ
資本金　40億円
従業員数　836人（2023年12月31日現在）
事業内容　データ・ソリューション事業/ 保険代理店事業 （生命保険・損害保険）
住所　東京都港区虎ノ門4-1-28 虎ノ門タワーズオフィス
ホームページ　https://www.wanbishi.co.jp/

お問い合わせ

本件に関するご質問、ご不明な点については、下記よりお問い合わせいただきますようお願い申し上げます。