ここから本文です
【PR】デザインの追求による情報漏えいリスクの回避策 ~ KCCS「Web脆弱性診断サービス」 ~
2009年7月29日 掲載
Web上で行われるコミュニケーションのためのアプリケーションやシステム。そのデザインに潜む「Webアプリケーションの脆弱性」。これは、Web保守担当者やプログラマを悩ますクリティカルな企業リスクの1つだ。本稿では、京セラコミュニケーションシステム(以下、KCCS)が提供する、脆弱性診断サービスのラインナップを紹介する。
構造に生まれる情報漏えいリスク
京セラコミュニケーションシステム株式会社 [kccs.co.jp]
Webというメディアの上でBtoB、BtoC、CtoCなど、さまざまなコミュニケーションが行われ、その道具として「構造・機能・美」を兼ね備えたデザインによるシステムやアプリケーションが使われている。さらに「クラウド」が社会的に広く認知され、「いつでも、どこからでも便利に」アクセスできるようにするための技術は目ざましい速度で進化している。このような現在、機能の充実や美の追求により構造が複雑化してしまうことは、デザインを行う上で多々あることだろう。そして、構造が複雑化すればするほど見えなくなっていくものの1つが「脆弱性」である。
近年、脆弱性という脅威は数・種類ともに増加し、コミュニケーションを支えるWebアプリケーションの脆弱性をターゲットに悪意ある攻撃が急増している。数年前までは、自分の技術力を誇示するための攻撃が主で、攻撃の事実が公開されるものが多かった。しかし最近は、情報を盗み悪用することを目的とした攻撃が多く、攻撃にあっても気づかないサイトが数多く存在し、その数は計り知れない。 このような攻撃に対し、情報漏えいなどの不安を感じているのは企業のWeb担当者だけではない。企業のサイトから重要な情報が漏えいしたとなれば、プログラム上の脆弱性やプログラムの記述方法などが問題視され、その制作発注先である広告代理店やWeb制作会社にまで、その責任が問われることになる。
脆弱性に対処したデザインのために「Web脆弱性診断サービス」
Web上のコミュニケーションを行うアプリケーションやシステム。その診断により脆弱性を発見し危険度や対策なども合わせレポートするサービスが、KCCSが提供する「Web脆弱性診断サービス」である。年間100社以上、過去500サイト以上の診断経験から、事前準備とヒアリングに時間をかけ、ユーザのサイト特性に応じ適したさまざまな診断プランを提供している。
「Web脆弱性診断サービス」は、50項目以上のレギュレーションに沿った検査を行う総合的なサービス。事前準備とヒアリングに時間をかけ、対象となるアプリケーションやサイトの特性に応じた柔軟性のある診断を行い、診断結果として、対策を含めた報告書が作成されるのが特長。Web Health Check(Web健康診断)、Economy Plan(エコノミープラン)、Standard Plan(スタンダードプラン)、Web 2.0 Plan(ウェブ 2.0 プラン)、Advanced Plan(アドバンストプラン)が用意されている。
中でも、Web Health Check(Web健康診断)は、新しいサービス。利用しやすい価格設定で脆弱性診断が行えるエントリープランと言える。
参考 URL:http://www.kccs.co.jp/products/web_security/scan.html [kccs.co.jp]
【Web Health Check:Web健康診断】
これまでにKCCSが行ってきた脆弱性診断の実績から、脆弱性の存在数とリスク発生の度合いをベースに、社内外のセキュリティスペシャリストが主要・必須として選定した12項目に検査項目を絞り込み、経験豊富なセキュリティエンジニアが手動で実施するため、自動診断では不可能な精度による診断を可能としている点が特長。診断結果としては、「要治療」「要精密検査」「異常なし」など、表現を工夫した分かりやすい診断レポートが提供される。
参考 URL:http://www.kccs.co.jp/products/web_security/check.html [kccs.co.jp]
セキュリティ対策の PDCA サイクル実現へ
さらに KCCS では、「セキュリティ対策ガイドライン」の作成支援も行っている。ガイドライン作成の目的は、開発前に行う「リスク回避」だ。複数のサイトを運営する企業などが、統一したセキュリティポリシーに準じたデザインを行うことで、さらに強固な脆弱性対策を可能にする。つまり、各種診断サービスとガイドラインの組み合わせにより、セキュリティ対策のPDCAサイクルが実現できることになるわけだ。
危険性を未然に防ぐアプローチと、運用開始後に定期的に行う定期診断のアプローチ。これらがきちんと循環して実践されることではじめて、Web上のコミュニケーションを可能にするアプリケーションとシステムのデザインも「構造・機能・美」を兼ね備えたものになる。Web アプリケーションの開発者や保守担当者は、常にこの考え方を念頭におき、自分たちにとって取り組みやすいアプローチを積極的に検討することが求められると言えるだろう。
(編集部)
お問い合わせ先
京セラコミュニケーションシステム株式会社
KCCSカスタマーサポートセンター
フリーコール:0120-911-901
携帯電話・PHS・IP電話などから:050-3161-3924
受付時間:平日9:00~17:00(17:00以降のお問い合わせは自動応答になります。)
ホームページ:http://www.kccs.co.jp/
URL: http://www.kccs.co.jp / [kccs.co.jp]
E-mail:kccs-support@kccs.co.jp