IT導入支援

会員限定

ライムライト・ネットワークス・ジャパン株式会社提供コンテンツ

2017年02月13日
徳丸浩氏×ライムライト対談 【徳丸浩氏 対談】Webセキュリティ対策は、ベンダーに任せておけばそれでよいのか?

WebサイトやWebサービスは、今やほとんどのビジネスにとって不可欠な要素となっている。スマートデバイスの普及やSNSの広がりによって、その重要性はさらに増している。にもかかわらず、Webのセキュリティをベンダー任せにしている企業は少なくない。それはなぜなのか。ベンダー任せから脱却するにはどうすればよいのか。HASHコンサルティングの徳丸 浩氏とライムライト・ネットワークス・ジャパンの荒井氏が論を交えた。


最近のWebサイト・サービスの開発とWebセキュリティ対策の実態

──最近は、DevOpsやアジャイルといった言葉に象徴されるように、開発の手法が変化しています。セキュリティ観点から見たWebサイト・サービス開発の現状について、ご意見をお聞かせください。

徳丸氏:特にスピードが要求されるスタートアップ系の企業では、DevOpsやアジャイル的な手法が利用されています。ただ、スタートアップ系企業は、開発者一人一人のスキルは高いものの、個人の技量や意識に任せていて、組織としてのガバナンスに課題を抱えているということは、全体的な傾向としていえると思います。

 大手の開発企業の場合は、比較的早くからセキュリティガイドラインを整備したり、出荷前に脆弱性診断を実施したりする企業はありますが、やはりばらつきは大きいのが実態です。全体で見れば、企業規模に関係なく、しっかりやっているところはやっているし、そうでないところも少なくないというのが実態です。

──開発の発注側であるユーザー企業についてはどうでしょうか。

徳丸氏:圧倒的に多いのは「お任せ型」です。セキュリティに関して、発注仕様書の手本がないことも問題です。このため、たとえば「セキュリティに十分注意して開発せよ」とか「SQLインジェクションやクロスサイトスクリプティングなどの脆弱性対策はしっかり実施する」といった曖昧な記述が少なくありません。「十分注意する」とは具体的にどういうことか、クロスサイトスクリプティングなどの「など」には何が含まれるのかは、よくわかりません。つまりは、開発側にお任せということです。

photo

HASHコンサルティング
代表取締役
徳丸 浩氏


言われなくても対策をするのが当たり前? 発注側・開発側の双方に求められるWebセキュリティの意識

──発注側は、セキュリティの詳細まで発注仕様書にしっかりと書くべきなのでしょうか。

徳丸氏:この問題に関しては、最近、ある意味で衝撃的な判決が出ました。あるECサイトがSQLインジェクションの攻撃を受けてクレジットカード情報が漏えいしたのですが、そのECサイト事業者が開発会社を相手取って損害賠償請求の裁判を起こし、勝訴したのです。しかも、ECサイト事業者は開発会社に対して脆弱性対策の指示はしていませんでした。つまり、指示はなくても、「開発会社は基本的な脆弱性対策をやって当然」という判決が出たのです。

 これまでは、セキュリティの最終的な責任は発注者側にある、という考え方が主流だったと私は理解しています。なぜなら、予算を用意するのは発注者だからです。それが、この判決では覆りました。しかも、指示書に書かれていることではなく、書かれていないことをしなかったことが「過失」と認められたという意味でも衝撃的だと思います。ただし、判決は確定したものの、最高裁での判決はまだ出ていないので、最終的な判断は出ていませんが、今後に注目すべき裁判だと思います。

荒井氏:私もその裁判には注目しています。ただ、我々としては、やはり発注者もしっかりと考えるべきだというのが基本的な考え方です。なぜなら、ベンダー任せでは部分最適になるからです。セキュリティは多層防御が重要ですが、ビジネスのドライバーを考えながら、システム全体を見て必要なセキュリティを判断できるのは、ビジネスを持っている発注者だけだからです。

photo

ライムライト・ネットワークス・ジャパン
ソリューションエンジニア
荒井 健太郎氏


徳丸氏:とはいえ、やはりベンダーにもそうした提案を期待したいところです。攻撃者は最も攻撃しやすい場所を突くので、ある程度、まんべんなく守らなければなりません。一方、予算は限られていますから、その枠内でどれだけ効果的な対策が可能かを提案する力が、ベンダーには求められていると思います。

この記事の続き >>
・Webセキュリティと利便性は両立できる
・セキュリティを高めると開発コストは何パーセント上昇するのか?
・Webのシステムに精密なリスク分析はいらない?

この続きは会員限定です