「Webセキュリティコンサルティング」導入事例
JR東日本のインターネットサービスポータルサイト「えきねっと
」などを企画・運営する株式会社JR東日本ネットステーション(以下、JRNets)。同社ではWebコンテンツの制作・運用にかかわるセキュリティを改善・強化するため、京セラコミュニケーションシステム(以下、KCCS)の「セキュリティコンサルティング」を活用。Webコンテンツ制作ガイドラインの整備や、コード確認を効率化するツールの選定・導入、運用マニュアルの改善などを実施し、利用者が安心してWebサイトを利用できる環境を整えている。
1. JR東日本の「えきねっと」などWebコンテンツのセキュリティを強化
「えきねっと」は、列車やきっぷ、旅行などの各種情報や、JR指定席、旅行商品などの予約サービスを提供しているインターネットサービスのポータルサイトである。
株式会社
JR東日本ネットステーション
インターネットプロデュース部長
インターネット事業推進部
担当部長
関根 綾子氏
ビジネスや観光に便利な予約サービス・情報源として多くの利用者に親しまれている。JRNetsはJR東日本グループの中で、この「えきねっと」やグループ各社が所有するWebサイトの企画・運営などを担っている企業である。
Webサイトを企画・運営する企業にとって、利用者をセキュリティインシデントから守るために、Webセキュリティ対策が不可欠なことは言うまでもないだろう。とくに、「えきねっと」のように公共性の高いWebサイトの場合、非常に多くの利用者がアクセスすることから、より信頼性の高いサイト運営が要求される。
「JR東日本グループでは、脆弱性診断などの取り組みを通じてセキュリティ対策を強化しています。当社も、かねてより『えきねっと』などのWebサイトを運営する上で、セキュリティの強化が求められており、ただ、どこをどう強化すればいいのか、社内だけでは分析しにくいという課題がありました。そこで、外部の専門家の力を借りることにしたのです」と、JRNets インターネットプロデュース部長の関根 綾子氏はセキュリティコンサルティング導入の経緯を説明する。
2. 進め方が明確化されたKCCSのコンサルティングを採用
株式会社
JR東日本ネットステーション
インターネットプロデュース部
インターネット事業推進部
リーダー
久保山 千秋氏
JRNetsではWebコンテンツの制作において、自社内の制作スタッフによる作業に加え、外部の協力会社に制作を依頼している。以前から社内外のWebコンテンツ制作にかかわるガイドラインを作成してきたものの、セキュリティ対策という観点というよりはWebサイトの利用者がアクセスしやすいよう、ユーザインターフェイスやデザインの統一、アクセシビリティなどに重点を置いていたという。
しかし、「JR東日本グループのセキュリティ強化の取り組みや、利用者のセキュリティ確保などの観点から、既存のガイドラインや運用マニュアルを見直す必要があったのです」と、JRNets インターネットプロデュース部 インターネット事業推進部リーダーの久保山 千秋氏は話す。
JRNetsでは主な課題として、(1)Webコンテンツ制作ガイドラインの整備、(2)Webコンテンツのコード確認の効率化、(3)Webサイトにかかわる運用マニュアルの作成の3点を挙げ、セキュリティコンサルティングの要件とした。そして、KCCSをはじめ、IT関連ベンダやセキュリティベンダなど数社にコンサルティングの提案を依頼。各社の提案内容を比較検討した結果、KCCSの提案を採用している。
その理由について関根氏は「コンサルティングの進め方を具体的な例を基にご説明いただき、提案段階でありながら改善していく流れが明確にイメージできたことです。加えて、Webアプリケーション脆弱性診断で豊富な実績を持っていたことや、コンサルティング費用がリーズナブルであったことも、KCCSの提案を採用する決め手になりました」と説明する。
3. Webコンテンツの脆弱性などに留意してガイドラインを整備
第1の課題である「Webコンテンツ制作ガイドラインの整備」では、セキュリティ対策の観点から、攻撃者が悪意のあるコードを閲覧者のブラウザに送るクロスサイト・スクリプティング対策や、偽のWebサイトへ誘導するフィッシング対策などの項目をガイドラインに追加することを提案した。
これまでWebコンテンツの制作においてはデザイン性や機能性を重視してFlashやJavaScriptなどのWeb技術を活用してきたという。しかし、「セキュリティの観点からFlashなどの技術は問題がないのか、安全に使うためにはどんな対策が必要なのかといったルールをきちんと策定するいい機会になりました」(久保山氏)と、ガイドライン整備の効用を述べる。現在は、外部の協力会社もガイドラインに準拠してWebコンテンツを制作している。「ガイドラインはWebコンテンツ制作の基準として位置付け、統一的なルールに則った制作を進めています」と関根氏は付言する。
4. コード確認の効率化として、ふるまい検知型の解析ツールを導入
第2の課題は、「コード確認の効率化」だ。従来は社内や協力会社が作成したコンテンツをWebサイトへアップロードする前に、悪意のあるコードが混入していないか、脆弱性がないかどうかなどをスタッフが目視でチェックしていた。しかし、「不要なコードかどうかの判断や、画像ファイルの確認なども目視では限界があります。そこで、コード解析ツールの選定をコンサルティングの要件にしていました」(関根氏)。
KCCSでは、コード確認の現状把握と分析を実施し、ベンダフリーの立場から、タイプの異なるコード解析ツールを提案。JRNetsは提案内容に基づき、パターンマッチング型では検出できないような未知のマルウェアも検知する“ふるまい検知型”の「Origma+」(株式会社フォティーンフォティ技術研究所)の導入を選択した。
同ツールはコマンドラインで画面操作する必要があったが、社内スタッフの操作性を考慮し、「コマンドラインでなく、Webベースのユーザインターフェイスに変更しています。こうしたカスタマイズの手配などもKCCSが担ってくれました」。関根氏はツールの選定にとどまらず、導入後のスタッフの使い勝手などをサポートするKCCSの対応を評価する。
また、久保山氏は「膨大な数に上るファイルのチェックを人間の目で行うのは限界があり、見落としがないとは言えません。ツールの導入でチェックを自動化できるようになり、スタッフの負荷軽減や見落とし防止だけでなく、チェックの証跡も残り管理面でも安心感があります」とツールの導入効果を話す。
5. 端末の構成管理などを運用マニュアルに追加
そして、第3の課題が「運用マニュアルの作成」である。従来から社内に運用マニュアルはあったものの、セキュリティ面では改善の必要があったという。そこで、KCCSでは実際にJRNetsの約30名に及ぶ制作スタッフ1人ひとりにヒアリングを実施し、コード確認後のコンテンツのアップロード作業の手順や体制、管理方法などの現状を把握・分析。そして、セキュリティのあるべき姿と現状のギャップについての調査を実施している。
運用マニュアルの活用法として、久保山氏は端末の構成管理を例示する。「運用マニュアルの整備を契機に、コンテンツ制作に使用するソフトウェアを管理するなど、セキュリティ対策を強化しています」と説明する。
そして、関根氏は「当社では、従来から取得しているプライバシーマークの認証に加え、2011年7月に情報セキュリティマネジメントシステム(ISMS)の認証を取得しています。Webサイトの運用マニュアルの改善なども、今後はISMSの一環として取り組んでいくつもりです」と取り組みを話す。
6. 脆弱性診断などのノウハウを活かしてコンサルティングを実施
プロダクト営業部
プロダクト営業課
原田 隆正
セキュリティコンサルティングを実施する上で、KCCSのアドバンテージはどこにあるのだろうか。
KCCS プロダクト営業部 プロダクト営業課の原田 隆正は「当社がこれまで提供してきたWebアプリケーション脆弱性診断や改ざん検知などのソリューションで培った経験を活かし、コンサルティングを実施しています。例えば、脆弱性診断のノウハウをガイドラインの作成に反映していることも、その一例です」と述べる。
セキュリティ事業部
アセスメント課
渡邊 広志
また、スタッフのヒアリングやギャップ分析などを実施したKCCS セキュリティ事業部アセスメント課の渡邊 広志は「運用マニュアルの作成では、ログ監査を提案しています。これにより、業務時間外のアクセスなど不正行為を検出し、セキュリティを強化できます」と、セキュリティソリューションの提供で得た知見をコンサルティング業務に活用している。セキュリティコンサルティングは、形のある製品・サービスと異なり、成果が見えにくい。だからこそ、実績やノウハウのある事業者に任せることが成功のポイントになる。
Webサイトの利便性と安全性に配慮しながら、魅力あるWebコンテンツ制作を推進するJRNets。Webサイトの持つ力がビジネスを左右する現在、同社の取り組みに注目する企業は多いのではないだろうか。
*取材時期 2011年8月
2011年版 Webアプリケーション脆弱性傾向
