Webシステム・セキュリティの責任は誰に?

2005/12/9

 神奈川県・横浜のパシフィコ横浜で開催されているInternet Week(主催:日本ネットワークインフォメーションセンター)で12月8日、Webを利用したアプリケーションのセキュリティに関するパネルセッションが行われた。この場では、Webシステム開発の受発注におけるセキュリティ要件や、運用担当者のかかわり方について話し合われた。

 まず、モデレーターを務めた日本ネットワークセキュリティ協会(JNSA)理事でラックの西本逸郎氏が発言。Webアプリケーションにおけるセキュリティ管理の現状を説明。数年前に作られたまま何回も改変を受けながら使われているシステムが多いこと、システムインテグレータ(SI)業者の瑕疵担保責任が明確化されていないこと、事件発生に気づくケースが少ないこと、短期間に安価で作ることをSI業者に要求する企業が多いこと、サイトのオーナーがITを知らない場合が多いこと、などを指摘した。

 JNSAのセキュアシステム・ワーキンググループ(WG)リーダーであるラックの丸山司郎氏は、12月6日にJNSAが発表した「セキュアシステム開発ガイドライン」について説明。開発を発注するユーザー側として必要最低限のセキュリティ対策のため、何をSI業者に頼めば良いかに関する分かりやすい指標として作成したと話した。「これをRFPに含めてもらい、ベンダ側は実装方法を提案に入れ、コンペするといった使い方をしてほしい」と丸山氏は語った。

 JNSA理事であるNTTデータの西尾秀一氏は、SI業者の立場で議論に加わった。同氏はSI事業者には社内レビュー体制の整備や納入システムの構成管理、脆弱性情報の収集や評価などが求められているという認識を示した。その一方で、発注者に対しては、脆弱性と瑕疵を明確に区別した契約の締結に協力してほしいこと、発注時にセキュリティ要求仕様をできるだけ明確化し、必要な投資をしてほしいこと、脆弱性は発見されたことよりも放置したり隠ぺいすることの方が問題であること、を訴えた。

 運用者としての観点からは、JNSA Webアプリケーション・セキュリティWGリーダーで住商情報システムの二木真明氏が加わった。二木氏は、すでに開発され、実稼働しているシステムを運用する担当者に求められるセキュリティの考え方を説明。運用者は、開発とは異なる視点でWebアプリケーションのセキュリティ検査を実施すべきであるとし、発見された脆弱性に対しては開発元との連携による修正や独自の回避策を実施しなければならないことがあると指摘。Webアプリケーション・ファイアウォールの導入もそのうちの1つと話した。

 JNSA教育部会のメンバーである日本ユニシスの長谷川長一氏は、セキュリティに関する人材が圧倒的に不足していると語った。同氏は、Webシステム開発において、開発プロセスにセキュリティ対策が組み込まれていないという欠点を指摘。セキュリティ・レビューの人材が不足しているほか、監査においてもスキル不足が見られると述べた。

 長谷川氏は、JNSAが「情報セキュリティ推奨教育検討WG」を立ち上げたと報告。設計、ポリシー運用、CISOなど7つの職種に応じて、必要なスキル項目、必要な試験の種類、キャリアパスを明確に示し、人材育成を進めていきたいと語った。

 議論では、受発注におけるセキュリティ要件の明確化が現実には難しいという指摘がなされた。例えば長期にわたるシステム構築で、いつの時点までの脆弱性を「既知の脆弱性」と判断するかが一概には決められないといった意見が出た。また、発注者側にも知識がないと、セキュリティ要件が的確に盛り込めないとの意見も聞かれた。SI業者については、顧客のパートナーになれるように信頼を獲得していかないと、必要な提言すらできないという指摘もあった。

(@IT 三木泉)

[関連リンク]
Internet Week 2005

[関連記事]
ラック西本氏が教えるWebサイトセキュリティ3つのポイント (@ITNews)
データベースセキュリティ市場攻略を米社製品投入で狙うラック (@ITNews)
パフォーマンス20倍のセキュリティアプライアンス (@ITNews)
業界横断でセキュリティ情報を提供、MSなどが新団体 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)