「ものづくり」においてもソフトウェアが重要な今、ソースコードに「品質」プラス「セキュリティ」で企業の価値向上にSCSKとベリサーブが提供する、ソースコード診断サービスの狙い

10年以上にわたって脆弱性診断サービスを提供してきたSCSKと、そのグループ会社で、製造業を中心にソースコードの品質検査サービスを実施してきたベリサーブ。両社はFortify SCAといった診断ツールを活用してソースコードの脆弱性検査サービスを提供し、ソフトウェアがもたらす価値をさらに高めようとしている。

» 2017年08月17日 10時00分 公開
[PR/@IT]
PR

 デジタルトランスフォーメーションやIoTの必要性が叫ばれる中、いかに迅速に、品質の高いITサービスを開発し、顧客に提供できるかが企業の競争力を左右するようになった。例えば、車ならばそこに搭載される車載システムが、家電製品ならばインターネット経由で連動するサービスが、あるいは工場生産や流通の現場においても、センサーや顧客管理システムと連動してきめ細かな制御を実現するシステムが、といった具合だ。ハードウェア単体だけではなく、その上で動作するソフトウェアが、企業が提供する価値を決める時代に突入しつつある。

 そんな中、ソフトウェアに求められるのは第一に、必要な機能を低コストで実現することだ。同時に、バグなどによって想定外の動作を引き起こさないよう、高い品質を保つことも欠かせない。その「品質」の中には当然、「セキュリティ」も含まれる。脆弱(ぜいじゃく)性を極力減らし、不正アクセスの被害から利用者を、そして自社を守るために、開発の初期段階からセキュリティを考慮し、安全なソースコードを提供することが欠かせない。

 残念ながら世間では、ソフトウェアやWebアプリケーションの脆弱性を突かれてマルウェアに感染したり、個人情報が流出したりといった事態が後を絶たない。その理由の1つは、セキュリティが「後付け」で実装されてきたことにある。初めから「安全」「安心」を考慮し、セキュリティ対策を組み込んだソフトウェア開発とモノ作りを進める必要性が高まっている。

 長年にわたり、ITシステムの脆弱性検査サービスを展開してきたSCSKと、そのグループ会社であり、主に組み込み機器に搭載されるソフトウェアのソースコードの品質検査を支援してきたベリサーブ。両社は、HPEの「Fortify Static Code Analyzer(SCA)」を活用し、これまでの検査サービスで蓄積してきた知見やノウハウを組み合わせ、一体となってソースコードのセキュリティ診断サービスを提供する。そして、これから生み出す新しいサービスにセキュリティという価値を加えて差別化を図りたい、と考える企業を支援していく。

プラットフォームやWebアプリに、動的検査・静的診断も、広範な診断サービス

 SCSKは長年にわたり、プラットフォームやWebアプリケーションを対象とした脆弱性診断サービスを提供してきた。システムのどこにどのような問題があるかを明らかにするだけではなく、問題の緊急度に応じて優先順位とどのように改善すべきかを示し、セキュリティレベルの底上げを支援するサービスだ。

 「プラットフォーム脆弱性診断」では、「不要なポートが開放され、攻撃者に悪用される恐れのある状態にないかどうか」「システムを構成するOSやアプリケーションに脆弱性が残っていないか」といった部分を確認する。

 もう1つの「Webアプリケーション脆弱性診断」は、SQLインジェクションやクロスサイトスクリプティング(XSS)といった、個人情報の流出やWeb改ざん、システム侵害につながる恐れのある脆弱性の有無を、HPEの脆弱性スキャナー「WebInspect」をはじめとするツールを用いて稼働中のWebアプリケーションにさまざまな値を入力し、診断する。さらに、長年診断に携わってきたエンジニアのノウハウに基づき、誤検知や過検知を排除した上で報告する。

 この動的検査に加え、必要に応じて静的検査を組み合わせられることもポイントだ。Fortify SCAを用いてアプリケーションのソースコードを解析し、脆弱性や品質に関わる問題を発見する。

SCSK ITマネジメント事業部門 netXデータセンター事業本部 セキュリティサービス部 サイバーソリューション課長 石川光春氏

 SCSK ITマネジメント事業部門 netXデータセンター事業本部 セキュリティサービス部 サイバーソリューション課長 石川光春氏は次のように述べる。「既に稼働中のサービスが多く存在していることもあり、Webアプリケーションのセキュリティ検査はこれまで動的解析が中心だった。だが、さまざまなセキュリティインシデントを背景に、脆弱性を見つけてはその都度修正して……というパッチワーク的なやり方では十分ではない。セキュリティを意識した作り方に変えていかなくては、という考え方が広がり、ソースコード診断が1つの解決策として注目されている」

 さらに、ベリサーブのソリューション・Webサービス事業部 ソリューションビジネスユニット セキュリティビジネス開発ユニット マネージャーを務める松岡秀和氏は次のように語る。「静的検査は開発中であっても診断でき、単体試験や結合試験時に実施すると非常に効果的だ。ソースコードを軸にチェックするので網羅率も高い。ただ、サーバの設定などに起因する脆弱性などは動的診断によって初めてあぶり出すことができる。この両方を組み合わせることで、より強固なアプリケーションを実現できる」

SCSK ITマネジメント事業部門 netXデータセンター事業本部 セキュリティサービス部 サイバーディフェンス課 セキュリティエンジニア 橋本幸喜氏

 しかも一連の検査では、多くの経験やセキュリティに関する知識を持つSCSKのエンジニアが「どのシステムでどんなクリティカルな情報を扱っているか」「この脆弱性はどのシステムにどのように影響するのか」といった要件や環境を踏まえ、顧客とコミュニケーションをとりながら最終的な成果物を提出する。誤検知や過検知を排除しつつ、ターゲットシステムの重要性や開発プロジェクトのスケジュールといった、ビジネス上の要請を踏まえて優先順位を付け、解決に向けた判断を下せるよう支援する。

 SCSK ITマネジメント事業部門 netXデータセンター事業本部 セキュリティサービス部 サイバーディフェンス課 セキュリティエンジニアの橋本幸喜氏は次のように話す。「今では多くの企業がセキュリティ診断サービスを提供しているが、われわれには10年以上の実績がある。特に定評があるのがレポート(診断報告書)の内容。出力結果を並べるだけではなく、「何が問題で、どのように改善すべきか」「どのように優先順位を付けるべきか」までを提案している。その上SCSKは、もともとシステム開発を行っている企業なので、開発現場の状況やニーズを理解した上で検査を実施できるのも特長だ」

Webアプリケーション脆弱性診断報告書(サンプル)

セキュリティも品質の一環ととらえ、開発段階でソースコード診断を

 SCSKでは、これら2種類の脆弱性診断サービスに加え、ベリサーブとともに、Android/iOSアプリや、いわゆる“ネイティブ”で動作するアプリケーションの「ソースコード脆弱性診断サービス」の提供を開始している。いわゆるITシステムで活用されるアプリケーションはもちろん、家電や車載機器といった組み込み機器、あるいは工場で活用される制御システムなども対象に、セキュリティも含めたソフトウェアの品質担保を支援していく。

 「脅威に対抗するには集合知が必要だ。Fortify SCAはHPEのラボがグローバルに収集している脅威情報やセキュリティ要件を反映し、高い精度で脆弱性を検出できる。これに知見を備えたプロフェッショナルの目を組み合わせ、現実の対応につなげていく」(石川氏)

 実はベリサーブでは長年にわたって、組み込み機器などに搭載されるソフトウェアの品質検査サービスを、製造業を含む広い業種向けに提供してきた。今や、ハードウェアのみで完結している機器はほとんどなく、そこに搭載されるソフトウェアがネットワーク経由でつながり、制御され、さまざまなサービスを実現している。こうした取り組み自体は歓迎すべきことだが、もしそこに深刻な脆弱性が存在すれば、ランサムウェアなどのマルウェアに感染して利用できなくなったり、サイバー攻撃を受けて操作権限を乗っ取られたりするリスクがある。

ベリサーブのソフトウェア品質検査サービス(VeriSource Secure)のイメージ

 松岡氏によると、「セキュリティもバグや不具合の1つととらえ、品質テストの中で確認したい」という声が高まってきたそうだ。「例えば車なら、そこに組み込まれるソースコードが正しく動くのは当たり前。その上で、車がサイバー攻撃を受けないようセキュリティを担保する、『品質』プラス『セキュリティ』という要望が高まっている」

ベリサーブ ソリューション・Webサービス事業部 ソリューションビジネスユニット セキュリティビジネス開発ユニット マネージャー 松岡秀和氏

 ただ、脆弱性検査を組み合わせたセキュアコーディングの必要性は分かっていても、それを実現できるスキルやノウハウを持ったエンジニアはまだ少ない。ベリサーブでは、業務システムの脆弱性診断に関するノウハウを持つSCSKと協力することで、あらゆるアプリケーションでセキュアコーディングを実現するプロセスを支援していく。「IoTや車載といった分野では人命に直結する可能性もあり、高信頼性が求められるシステムやプログラムが増えてきている。その中で一助になるのがソースコード診断だ」(松岡氏)

 また、ソフトウェア全てが内製されるわけではなく、外注に委託するケースは珍しくない。その中でどのようにソースコードのセキュリティを担保するかも1つの課題だ。「ソースコードのセキュリティを判断できるエンジニアがどこにでもいるわけではなく、そうなるとやはり発注側がしっかり見なくてはならない。それを実現できるように、サービスやツールを通して現実解を提供していく」(石川氏)

セキュアなコードが技術者の、企業のバリューに

 ただでさえソフトウェア開発時のテストケースは膨大な量に上る。「なるべく開発の上流工程で品質を作り込む方が手間もコストもかからない。その中にセキュリティという観点も盛り込んでいきたい」(松岡氏)

 セキュリティの重要性を頭では理解していても、開発者にとってまず大事なのは、機能要件を満たすソフトウェアを効率良く作ること。そこに加えて『セキュリティも考慮して』と言われると非常につらいのも事実だ。「お金も時間もかかることなので、現場には、できればやらずに済ませたいという一種のアレルギーがある。そんな開発者が、スムーズにセキュリティ対策を打てるよう支援し、ひいてはセキュアなコードが技術者としてのバリューになり、会社としてのバリューになることの理解を広げていきたい」と石川氏は宣言した。

 デジタルトランスフォーメーションやIoTによってビジネス拡大を考えている企業は、一度SCSKとベリサーブが提供する診断サービスを検討してみてほしい。きっと、検討に値する価値があるはずだ。

資料ダウンロード

70万以上のAPIにも対応、多言語混在環境に最適なソースコード脆弱性診断ツール

アプリケーション開発では、初期段階から脆弱性診断を行うことが重要だが、複数言語が混在する環境では、効果的な診断を行うことが難しい。そこで注目されているのが、20種類の開発言語と70万を超えるAPIに対応した脆弱性診断ツールだ。


資料ダウンロード

システムの弱点を総点検、Webアプリからプラットフォームまで対応の脆弱性診断

セキュリティ課題を解決するための方法として脆弱性診断がある。中でも効果的な選択肢が、判明した問題点の対策方法の提示までを行う、セキュリティツールとエンジニアのマニュアル診断を組み合わせた診断サービスだ。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社日本エントコ(ヒューレットパッカードエンタープライズ)
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年9月16日

関連リンク

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。