社内アプリが陥りがちな7つの”あるある“とその対策:システムインテグレーションとセキュリティ(4)(2/2 ページ)
“SI視点”でセキュリティのポイントを解説する本連載。第4回は、「アプリケーション開発後のメンテナンス」の際に考慮すべきセキュリティ上のポイントを紹介します。
メンテナンスにおける情報システム部門の役割
こうしたケースが散見されるため、ユーザー部門が作成したアプリケーションに対して、情報システム部門の方はあまり良い印象をお持ちではないかもしれません。好き勝手に作られたアプリケーションは“スマートでない”ことがほとんどですし、適切なメンテナンスも行えていないことが多々あります。情報システム部門がユーザー部門の作成したアプリケーションをメンテナンスする場合は、セキュリティ上の問題点を判断するため、以下のポイントに注意するようにしましょう。
1.上述のよくある状況に陥っていないかを確認する
ユーザー部門では設定情報を把握できないことがありますので、先に示した7つの状況に陥っていないかを情報システム部門が確認し、社内の情報セキュリティ関連の規定と照らし合わせながら現状分析を行います。問題があった場合には、「なぜメンテナンスができなかったのか」をユーザー部門に確認しましょう。
2.セキュリティ診断を行う
状況を確認したら、アプリケーションが動作するサーバの設定状況や、アプリケーション自体の脆弱性に対する診断を行い、セキュリティ上の問題点がないかを把握します。この診断については、可能であれば、専門家としての細かな判断が行える外部のセキュリティベンダーなどに依頼するのがよいでしょう。
3.繰り返し改善していく
セキュリティ診断により問題があると判断された箇所について、優先度(第3回で記載した問題の箇所など)を決め、1つずつ改修を行っていきます。アプリケーションのプログラムを改修する場合には、「関数内の処理を簡素化する」「インタフェースを整える」といった作業を行い、他の社内システムと統一的になるようにします。2や3の作業を繰り返しながら、セキュリティの問題点を1つずつ減らしていきます。
メンテナンスにおけるユーザー部門の役割
次に、ユーザー部門の役割です。ユーザー部門では、「アプリケーションの処理そのものにどんな問題があるか」というような判断はできないかもしれません。また、「自分たちが行った設定がセキュリティレベルの低下を招くかどうか」といった判断も難しいでしょう。
しかし、そのアプリケーションが扱う情報(個人情報など)の重要性を判断することはできます。従って、ユーザー部門でのメンテナンス時のセキュリティ上のポイントは、以下のようになります。
1.情報を洗い出す
「検索画面」「明細画面」「予実レポート」といった一定の範囲ごとに、どんな情報が扱われているのかを洗い出します。併せて、その想定利用者を確認し、アプリケーションが実際にどのマシンで、どういった作業に利用されているかを確認しましょう。
2.情報のグループ分けを行う
情報の洗い出しが終わったら、それぞれの情報をグループ分けし、社内の情報セキュリティ規定に沿って優先度を設定します。優先度を判断するときには、「自組織内の情報か、外部の情報(顧客情報など)か」「個人情報や経営に関する機密情報かどうか」といった“情報の種類”や、配置されているディレクトリや保管期間といった“管理状態”などの要素を参考にするとよいでしょう。
3.優先度に基づいた継続的な改修
1、2の情報を一覧にまとめ、グループ分けの際に設定した優先度に従って、情報システム部門や外部のSI事業者に「アプリケーションに、それらの情報に関するセキュリティ上の(技術的な)問題がないか」を確認してもらい、問題があれば改修を行います。改修作業はできるだけ情報システム部門などの専門家に依頼するようにしましょう。
以上、本稿では社内アプリケーションのメンテナンスにおける情報システム部門、ユーザー部門の役割を解説しました。社内アプリケーションのセキュリティ対策は、「個々の部門でどうにかする」という考え方では難しいものです。両部門が協力して継続的な対応を行い、セキュリティレベルを向上させましょう。また、外部のセキュリティ専門家の協力を仰ぐことも、セキュリティレベルの向上につながります。これはオンプレミス環境でもクラウド環境でも同じことです。
さて、第3回から2回にわたり、「ユーザー部門が作成したイントラアプリケーションのセキュリティ」という観点で、社内アプリケーションに存在する脅威とメンテナンス時のポイントを紹介してきました。情報システム部門にとっては面倒に感じることも多いかもしれませんが、こうしたアプリケーションは、ユーザー部門が作業効率を考えた結果の“資産”です。本稿が、そうした大切な資産のセキュリティを向上させるために少しでもお役に立てば幸いです。
次回以降は、情報システムの「運用」の視点から考慮すべきセキュリティ上のポイントについて解説していきます。
著者プロフィール
▼寺岡 亮(てらおか りょう)
2001年から株式会社ラックで数年間セキュリティ業務に従事。
その後はシステム開発部門で、主にユーザー部門でのアプリケーション開発の運用・保守を担当。
セキュリティ関連の話題にも常にアンテナを張っている。
Copyright © ITmedia, Inc. All Rights Reserved.