Webセキュリティの専門家がクラウドのセキュリティを斬る!
SaaS利用時には要注意!Webアプリのセキュリティ
2010年12月03日 06時00分更新
セキュリティ対策もクラウド化する時代
このような状況から、セキュリティ対策についてもクラウド化するサービスがいくつも出てきている。SSTが提供しているSaaS型のWebアプリケーションファイアウォールサービス「Scutum(スキュータム)」もその1つである。このサービスの開発にあたっては、以下の4点を重視した。
- 最短1週間以内に導入できる
- ユーザー企業側のシステムの増強・削減に合わせ、費用も含め簡単に増減できる
- ユーザー企業側に、運用負荷を与えない(ユーザー企業側に専門の運用担当者がいなくても運用できる)
- 短期間の利用が可能
本サービスは、クラウド上にあるサーバーへの通信を、DNSの設定変更によりScutum経由にするだけで導入できる(図6)。費用は、その利用量に応じて発生する。これにより、クラウドのメリットをそのまま活かしたセキュリティ対策を実現しているのだ。
これまでもセキュリティ対策は、想定外のコストとなってしまったり、そのレベルを高めようとするばかりに利便性が落ちてしまったりと、どちらかというとビジネスの足を引っ張るものと捉えられる傾向があった。今後システムがクラウド環境へ移行していく中で、その状況がより鮮明になるとも考えられる。しかし、セキュリティ対策においても、クラウドのメリットを享受し、安価に、簡単に、利用できるサービスが増えてくるだろうし、そういったものが求められているのではないかと考えている。
企業におけるWebアプリケーションのセキュリティ対策
最後に、SaaS事業者や、Webアプリケーションを公開する側のセキュリティについて見てみよう。そもそもSSTは、Webアプリケーションセキュリティを専門とする企業だ。そのため、Webアプリケーションのセキュリティ対策に取り組んでいる、あるいはこれから取り組もうとしている企業の担当者(コンプライアンス部門、開発部門、情報システム部門等)と話をする機会がある。ところが、その中でWebアプリケーションの脆弱性の脅威や情報漏えい事件などのインシデントによるリスクを把握し、継続的な対策を行なっているのは、残念ながら一握りの企業である。
その理由の1つとして考えられるのは、企業が専任のセキュリティ担当者をおいているケースがきわめて稀なことである。たしかに、コンプライアンス部門を持つ企業は多い。しかし、「Webアプリケーションのセキュリティ対策が継続的に行なわれているかを定期的に監査する」というミッションが課されているケースはほとんどないのが現状だ。
専任の担当者がいない場合、この問題を戦略的に解決していくのは当然難しい。仮に外部の専門家に依頼するとしても、そこをコントロールするためにはある程度の専門的な知識や技術が必要だからだ。
とはいえ、Webアプリケーションのセキュリティ対策を戦略的に実施する企業がないわけではない。こうした企業の取り組みには、2つのアプローチが見てとれる。
1つ目は「警察官アプローチ」だ。これは、インターネット上に公開Webサイトを立ち上げる部署に対して次の3つのポイントを義務化し、現場をコントロールするという方法だ。
- カットオーバー前の脆弱性診断を義務化し、定められた基準に満たない場合、Webサイトを公開させない
- セキュア開発ガイドラインを設け開発パートナーや社内の開発者に対して教育を行なう。また、理解度を把握するための試験を実施し、合格しない者には開発をさせない
- Webサイトの設置環境などについてもルールを定め、例外を認めない
このアプローチを実現させるためには、セキュリティ専任部署が社長やCISO(情報セキュリティ担当役員)直轄として強い権限を持ち、現場を制していくことが重要となる。
2つ目は、「仲間アプローチ」だ。こちらは、売上げに直接貢献するのはビジネスを行なう部門であり、セキュリティ専任部署はあくまでもサポートにまわるという考え方に基づくアプローチだ。
ビジネスを行なう部門、ここではすなわち公開Webサイトを立ち上げる部署であるが、彼らはカットオーバー日程に追われがちで余裕がないというのが一般的だろう。ルール、基準、教育制度などは、「警察官アプローチ」同様にそろえている。しかし、ビジネス部門の事情に配慮して、セキュリティ専任部門の担当者が自ら動き、セキュリティ面で最低限許容できる範囲に収まるようにサポートする。このアプローチが「仲間アプローチ」である。
以上、2種類の異なるアプローチを紹介した。企業規模や企業文化の違いなどを考慮して選択すべきものであり、どちらが正解というものではない。ただし、どちらであっても必要不可欠だと筆者が考えるのは、専任の担当者自身が自社のWebサイトを守っている、今後も守っていくという強い思いである。アプローチの違いはあるものの、現場にルールを強いることに違いはない。しかも必ずしも売上に直結しないため、嫌われがちな仕事である。誰でもできる仕事ではないだけに、取り組みを成功させている企業を見ると専任の担当者がキーマンとなっているケースが多い。
今後、自社で運営するWebサイトのセキュリティ対策を検討する際には、以上の事例を参考に取り組み方を検討していただけると幸いだ。
筆者紹介:新井幹也(あらい みきや)
株式会社セキュアスカイ・テクノロジー 取締役CTO
2006年にセキュアスカイ・テクノロジーを設立。Webサイトを中心としたシステムの脆弱性診断サービスの構築・運用を経て、数多くのサイトにて脆弱性を発見。CTOとして、ガイドライン策定サービス・セキュリティ教育サービス、スマートフォン向け診断サービス等の新サービス開発を手がける。
筆者紹介:武者英敏(むしゃ ひでとし)
株式会社セキュアスカイ・テクノロジー シニアコンサルタント
Webサイトやネットワークのシステム構築を皮切りに、1998年よりセキュリティ関連の業務に携わり、前職ではWAFビジネスの立ち上げ・運用、脆弱性診断に従事。現在は、脆弱性診断や、ソーシャルサイトと連携したセキュアなwebサイト構築のコンサルティング等を担当する。
この連載の記事
-
第5回
クラウド
クラウドを支える「サーバー仮想化」のセキュリティとは? -
第3回
クラウド
自社設備でOK?企業がクラウドを使う上でのリスク管理 -
第2回
クラウド
エンドユーザーから見たクラウドサービスの不安 -
第1回
クラウド
クラウド導入の懸念事項「セキュリティ」の問題はどこ? -
クラウド
知っておきたいクラウドのリスクとセキュリティ - この連載の一覧へ