このページの先頭です
ここから本文です
  1. HOME
  2. SPECIAL
  3. セキュリティ特別対談

特集

サービスページではご紹介しきれない、新技術やコラムを公開しています。

column

セキュリティ特別対談

セキュリティ特別対談

セキュア開発の必要性

本日はどうぞよろしくお願いします。
まず、セキュア開発とはどういったものかについて教えてください。


ソフトウェア・システム開発において設計・開発段階からセキュリティを考慮した実装をすることを「セキュア開発」と言います。 これは、予算とリソースに余裕のある企業だけが実践するような、いわゆるぜいたく品質の話ではありません。 今、大至急これに取り組まないと次の時代は来ません。どんな業界、企業、事業においても切迫したものです。


これまで開発を受託する際には、企業のやりたいことだけをシステム要件としてきました。

そのため、本来ウェブはページを表示させて情報を見せるものでしたが、個人情報を扱うなどクリティカルな使い方をされだしてからもセキュリティはあまり考えられず、機能が先行していました。

機能要件とセキュリティ要件を考えないといけないのが今、それらの実装がセキュア開発だと考えています。

世界中で何十万、何百万という企業やチームがソフト開発をビジネスにし、新たなソフトウェアをリリースしています。忘れてはならないことは、ITはそもそも「IのためのT(InformationのためのTechnology)」であり、主目的は「I」、つまり情報です。かっこいいテクノロジーを使うことが命題ではありません。

皆様もスマートフォンをよく使われると思いますが、それ自体がかっこいいだけではなく、利便性の高い情報活動や経済活動がドライバーになり、これだけ急速に普及したのです。 ただその弊害は大きく、企業の内部システムにおいては特に「業務目的さえ達成されればOK」で進んできてしまいました。 技術が追いついていないために、無理やりな開発もあります。

「できたほうが便利」が先行してしまい、無理やり適用された結果、後になってリスクや攻撃が顕在化。今現在多くの問題が明るみに出てしまったというわけですね。 またウェブだけでなく、スマホ、タブレット、ウエアラブルデバイス、そしてIoTと呼ばれる様々なものがインターネットを介するようになり、さらにリスクが高くなっています。 後追いでの対策ではもう追いつきません。リリース前の対策から、開発段階で考慮されたセキュリティが不可欠です。

ウェブサイトの改ざんや情報漏えい事件が後を絶ちません。
システムのセキュリティリスクはどこで生まれるのでしょうか?

システム構築の主要な部分は明らかにプログラムの「ソースコード」です。システム開発において、良い機能であっても、脆弱性(システムの弱点)を混入させてしまう原因の約85%はシステム構築の段階だという報告もあります。

個人情報漏えいや改ざんなどの不正アクセス、業務を停止に追い込むようなDDoSなどの多くはソースコードの問題に起因します。事件発覚後の対応で、システムを改善する際にもほとんどすべての場合において、この「ソースコード」を改修しなければなりません。 しかし、システムが完成してから個別の部分を修正するのは結構大変です。

そういった意味でも、あらかじめソースコードに潜む脆弱性を劇的に減らすことができれば「サイバー攻撃に遭いにくいシステム」が構築できると言えます。

では、完成したシステムを守るためには、どうすれば良いのでしょうか?

アメリカでの調査によるとセキュリティ侵害として報告された事件の約95%はアプリケーション層が原因でした。ですが、企業がセキュリティ投資をしている約90%はネットワーク・インフラです。
予算はクラウドやファイヤーウォール、WAFなど、システムの外側の部分に使われるばかりで、実際に動くアプリケーション・プログラムは脆弱性を含んだ作りのままにされている状況でしょう。
このミスマッチな実態を軽視していては、そりゃ漏えい事件は減るわけがない。この状況は非常に危険です。

サイバー攻撃が与える損害とは?

サイバー攻撃が企業に与える損害とは何でしょうか?

情報漏えいなどの被害があった場合、損害賠償のほかに企業が恐れることはなにか考えると、皆様「お客様が離れる」こと、「新しい顧客が取れない」ことを挙げられますが、経験者に言わせれば、それよりももっと深刻で一番恐ろしいのは「鍵となる社員の離職」そして「雇用ができない」ことだそうです。
システム担当者などが事故対応にあたる場合は大変過酷な勤務状況に陥ることが多く、離職に繋がりやすいのです。企業全体の事業に対する気持ちや熱意が冷めていくこと、これは経営者にとって最もクリティカルな損害ではないでしょうか。

確かに、KDLがインシデント対応をした企業においても落ち着いたころにシステム担当者が退職されるケースが見られます。共通して言えるのが、経営者が理解を示さず現場に対応を丸投げしているということ。これは経営者としても企業としても問題を根本から考え直す必要がありますね。

大きな損害を与えるサイバー犯罪へ備えられることはありますか?

サイバー攻撃は津波のように襲ってくるもので、今の時代にはどうしても起きてしまいます。一定の確率で当たってしまうものなのです。もともと流れ弾が飛び交っている地雷原のようなところを走りながらシステムを動かしているようなものだという認識を全員が持つべきではないでしょうか。

確かに、ウェブサイトやスマホアプリは荒波に小舟を浮かべるようなものです。被害が起きないような手立てと、起きた時にどうするかの手立ての両方を考えておく必要があります。岡田社長の例えをお借りすると、流れ弾に当たることを想定して当たる確率を下げる。当たった場合のダメージをできるだけ小さくするという方向へ考え方をシフトすることが重要になってきます。

システム開発における企業のあるべき姿と取り組み

理想のセキュア開発とはどういったものでしょうか?

セキュリティは品質ですから、出荷前に問題をチェックすれば良いというほど簡単ではありません。出荷時の検収者や品質管理者だけの仕事ではなく、そこに至るまでの全員が関わっているものなのです。あとでかかる膨大なコストが嫌なら、システムリリースよりも、もっと前工程で効果的に対応する「シフトレフト」という考え方の魅力を伝えたいと思っています。

「シフトレフト」の考え方について教えてください。

時間の軸に逆らって品質を検討する段階を前倒しするという考え方です。どんなシステム開発にも、ビジネス要件→設計→実装→構築→テスト→品質管理→運用という流れがあります。しかし、これは全てサプライチェーンなのですから、まるっと「システム開発」ととらえるのではなく、それぞれのステップごとに検討できることがあります。
ほら、NHK朝の連続テレビ小説「べっぴんさん」で、「キアリス社」は長く使ってきた素材の上質なメリヤスが手に入らなくなるという問題が生じたときに大騒ぎになったでしょう。そこがともかくきちんとできないと、後工程がどうやっても高品質な赤ちゃん用の肌着が作れないと。システム構築も、あのレベルのサプライチェーンを意識するとぐっと変わってきます。

お、神戸ならではの話題にかけていただけました(笑) 「べっぴんさん」のモデルであるファミリア様は、今でも素材や縫製の品質に強いこだわりを持って作られています。
こういった製品の世界にはPL法(製造物責任法)がありますが、あれも後からできたものです。
ITの世界にも同じ流れが来るのではないでしょうか。私はITの世界にPL法が存在しないことに大きな違和感があります。

確かに、ベンダーや発注者の責任を明確にすべきですね。

本当にそうですよね。そのためにも、設計時にシステム要件に加え、セキュリティ要件もあわせて考慮に入れて開発に落とし込むことが重要です。開発者はそれを意識して、ソースコードをチェックできる仕組みを活用することで、開発段階で解決できる問題を押さえておくことができます。
そのうえでリリース前の脆弱性診断を行えば、不注意な問題が激減しますから、改修によるリリース遅延なども減らすことができます。そして、ソースコードは「安心できる資産」になるのです。

では、「セキュア開発」の目的は何でしょうか?

先ほども少し言及しましたが、セキュリティ対策戦略の三大原則があります。
問題ができるだけ起きにくいようにする」「問題が起きたらできるだけ早く検知する」「問題が起きた場合でも、最小限の影響にとどめる」です。

この3つともを実現していくのが「セキュア開発」の目的です。この3つに真剣に取り組み、問題が起きたとしてもそこから学び、事前の対策を見直し、ライフサイクルに組み込めばいいのです。セキュア開発は、企業がITを利用して展開する事業を根底から見直すきっかけにもなりうるのです。

KDLが提供する情報セキュリティサービス「Proactive Defense」も最初は防御サービスとして始まりましたが、現状すべてを防御することは不可能です。
今はインシデントが発生することを前提に、発生しにくくすることと、発生した場合はすぐに「どんな攻撃にあたってしまったのか」を検知し、何か起きた時に備える「インシデント対応マニュアル」の策定などもサービスとして提供しています。
リスクにさらされたことが分からなければ対応も取れませんから、まず知る体制を築くことが大事です。

1/2

ベンダー選定におけるリスク回避術

ここからは、システム開発をベンダーに発注する企業が気を付けるべき、
「セキュア開発におけるベンダーの見極め方」についてお聞かせください。

時代は変わっていくものです。
情報セキュリティも同じく、企業の脅威は常に変化しますので、それに対してどう対応しているかもベンダーの資質が問われるところです。
セキュア開発においては、開発プロセスやセキュリティ要件をきちっと明記していること。

社内でも第三者として品質を管理する部門があり、各フェーズでセキュリティ対応をチェックされているベンダーは信頼できますね。開発においてセキュアなフレームワークやプラットフォームを利用しているとさらにレベルは上がります。
もちろん、自信をもっているベンダーはそういったところをウェブサイトや提案書などに明記しています。

その通りですよね。ただ、良いベンダーと付き合うためには、良い発注者でなければなりません。
良い発注者は、「伸びる事業を持っている」「事業に責任を持っている」「事業のお客様に対して責任を持っている」の3つに当てはまると考えます。

また、悪い発注者というのは、システムができること・稼働することが目的になってしまっていて、「システムが事業に貢献するかどうか」という価値基準を持っていない場合が多いです。

そうですね。私も客先やセミナー、イベントなどで必ず、月に10~20件しかない問い合わせのために、問い合わせフォームを作る必要がありますか?と聞くようにしています。
問い合わせフォームを作ることで生まれるリスクを考えると、電話で十分なら無理にシステム導入をする必要はないのです。
企業側の依頼を鵜呑みにしてセキュリティのことを考えずに作ってしまうベンダーはいいベンダーとは言えません。KDLも利用シーンが分かったうえで技術の提案ができるベンダーでありたいと思います。

そのIT戦略は「I」をちゃんととらえているか、また「I」に「愛」があるのかどうかも大切なポイント(笑)。
耳の痛い話だととらえるベンダーもいるかもしれませんが、どんなベンダーでもたいてい現状はゼロからです。しかし、ビジョンとしてはしっかりと持って進んでいただきたいと思います。

I(愛)のあるT(技術)。いいフレーズですね(笑)。
先ほどのシフトレフトと併せてKDLでも全社員で考えていきたいテーマです。

愛のあるIT、なるほど(笑)
では、今現在ベンダーに発注している企業がこれから考えておきたいことはありますか?

今お付き合いのあるベンダーが対策出来ていないからといって変更するのではなく、一緒に品質レベルを上げていくというスタンスが必要だと思います。KDLが第三者的にセキュリティ診断を行う際、報告会で企業様と一緒にその開発ベンダー様にも同席してもらいます。開発者を否定するのではなく、教育の観点で参加いただくのです。 逆にあまりにもセキュリティを意識しないベンダーも存在します。
それを不安視した企業様がKDLに保守の引継ぎをお願いされる場合がありますが、KDLが引き継ぐ場合はまず「セキュリティ診断」をしていただき問題点を洗い出しています。引継ぎをした後にセキュリティの問題が出てきても困るからです。

システムは構築がゴールではないのですね。

そうですね。しかも、システムは精一杯作ったからと言って永遠に使い続けられるものではありません。
もちろん、「IT」の目的は「I」ですので業務を進めるのに遠慮する必要はありません。「T」がよくなければ変えていけばいいのです。ベンダーを変える、ベンダーにやり方を変えてもらうなど方法はいろいろあります。
技術について全部詳細に知り尽くす必要はないかもしれませんが、次のシステムはどういったテクノロジーで実装するべきなのか、どのような問題を考慮する必要があるのか、事業運営していく上でどういう点に気を付けるのか、などにおいては重要であり、後付けできない問題です。

すでにリリースしたシステムに問題がある場合はどう考えていけばよいでしょうか?

外部ベンダーに依頼している企業が、今あるセキュリティ要件を後付けでどうにかするのは無理でしょう。
そこに労力とお金をつぎ込むくらいなら、システムのライフサイクルに合わせて、どうやって事業のサイクルにセキュリティ的な安心感を担保するのかを考えるべきです。その部分に関しては、依頼側である発注企業が責任を持つことで、物事の情勢は驚くほどスムーズに変わりますよ。

ほかにも発注者である企業が考えるべきことはありますか?

シフトレフトを実現することにぜひ取り組んでいただきたいです。その手法のひとつとして、ここ3年くらい言われているのですが、短い期間で開発とリリースのサイクルを繰り返す「DevOps(開発と運営を一体として扱う手法。デブオプス)」があります。

実践すると分かりますが、問題点をすぐに洗い出し、優先順位の高い問題をさっと修正して、迅速にリリースすることが可能になります。運用に見合った開発を繰り返すことにより、問題発生箇所のコントロールを着実に強化していくわけです。

これをSIerのビジネスモデルで実現するには、「パートナーシップ」しかないでしょうね。きちんと物を作ることは、それが自社のサービスでない場合、ときにスケジュールとコストを必要とするため利益相反になってしまうと考えられるからです。パートナーシップが盤石に実現すると、お客様は「I」に集中し、パートナーは「T」を作る部分を引き受けるという構えがベストになってきます。まさにKDLのアプローチのすごいところだと思います。

ありがとうございます。今これだけ時代が早く変遷するのに半年~1年かかる開発では、企業の販売戦略に追いつきません。今後は、よりスピードが求められる時代になるでしょうから、やはりDevOpsやアジャイル(短い開発期間単位を採用し、リスクを最小化に導く開発手法の一つ)に対応する必要があります。そうなってくると、やはりリリース前のセキュリティ診断だけでなく、開発段階でのセキュリティ「シフトレフト」が必要になってきますね。

セキュア開発への取り組み

アスタリスク・リサーチ×KDLの取り組みを教えてください

KDLは、開発企業としての位置づけで、今一度セキュア開発に取り組んでいます。そのためのツールとしてアスタリスク・リサーチ社が提供する「SecureAssist(セキュアアシスト)」を社内に導入し、開発段階からセキュリティを意識できるようにしています。

それまでは納品前の「脆弱性診断」のみ行っていましたが、脆弱性の数が一定数以下に減らない現状がありました。クリティカルな問題もあり、戻り(開発しなおし)が発生するケースも。それを改善するべく、セキュリティ要件を決めた上でコーディングチェックの仕組みである「SecureAssist」を導入し、全員で品質を担保する体制にシフトしたのです。


企業システムのセキュリティの鍵である「シフトレフト」に自らチャレンジしていらっしゃるんですね。SecureAssistの面白いところは、数百の問題となるコーディングの仕方を瞬時にチェックし、修正を助ける点です。問題箇所がスペルチェッカーのように表示され、深刻度レベルも示します。またクリックひとつで修正ガイドラインを表示しますし、OWASPの情報にもリンクしており、問題を理解するだけでなく対処する方法を学習できる仕組みになっています。導入効果は分かりやすいと思います。

85%の脆弱性は構築段階で混入するというデータから分かるように、まず開発の際に問題の少ないコードに責任を持つこと。これにより脆弱性の成立可能性を激減させることで、後の行程はやるべきことに注力できます。

もちろんシフトレフトの考え方からすれば、その前段階の設計や要件あってのことであるのは言うまでもありません。
しかし、より多くの人が関わる構築段階で、開発チームが能動的に学ぶことで脆弱性を産むリスクを減らすアプローチは、開発者にも、後工程の検査プロセスにも有効で、ひいてはメンテナンスもしやすくなります。三方よしです。
もうセキュリティは誰か限られたチームの責任ではなくなるからです。

両社の活動が目指す先を教えてください。

KDLはグローバル展開されている企業様とのやり取りが増加しています。
シンガポール内で事業を展開される企業などを見ていても皆様、IPAの「安全なWEBサイトの作り方」はご存じなくても、グローバルガイドライン「OWASP Top 10」はご存知です。

今後はグローバル展開されている企業様向けにも「OWASP Top 10」を1つのセキュリティ要件として採用したいと考えています。OWASPでは脆弱性診断ツールや評価ツールも無償提供されているので、我々も使っていきますし、どんどん普及させていきます。
特に関西でセキュリティ意識の高い企業を増やしていきたいですね。

時代の流れから考えると、要件定義・設計・実装の各段階でセキュリティを組み込む「セキュア開発」の実践はこれからもっと肝心なものになってくると思います。

誰でも、どんなエンジニアでも、セキュアなソフトウェアを作ることができるようになるということ、その先陣を切って伝えることに奮闘することは報われると思います。 これが私たち共通のミッションではないかと思う次第です。

今日はすばらしい機会をいただき、ありがとうございました。

こちらこそ貴重なご意見をお聞かせいただき、ありがとうございました!

OWASPとは

OWASP(Open Web Application Security Project)
アプリケーション・セキュリティをとりまく課題を解決することを目的とする、国際的でオープンなコミュニティ。OWASP Top 10はアプリケーション・セキュリティについて世界で最も活用されているガイドラインである。運営母体であるThe OWASP Foundationは、2001年に設立され、2004年4月21日よりアメリカ合衆国にて政府認定NPOである。120以上のプロジェクトがあり、全世界200以上の拠点にチャプター(支部)がある。日本には、準備中のチャプターを含め、全国に7拠点で活動している。関西地方ではOWASP Kansaiが設立され、京阪神エリアを中心に活動を推進している。

アスタリスク・リサーチ社が提供するセキュア開発支援ツール「SecureAssist

KDLが提供する情報セキュリティサービス「Proactive Defense

2/2

ページの先頭に戻る