多様な脅威が存在するインターネット環境でビジネスをしている企業にとって、システム面のセキュリティ対策は非常に重要である。当社でも、楽天グループのWebシステムを脅威から守るため、さまざまな対策を積み重ねてきた。中でも重視しているのが、システム開発工程全体で脆弱性を作り込まない体制を築くことである。
現行システムに既知の脆弱性が見つかった場合、開発工程のどこかで対策漏れが生じた、あるいは対策そのものに不備があったことになる。脆弱性を発見したら、それをつぶすだけでなく、開発工程全体の見直しを図る。新たな脆弱性が明らかになった場合も、開発工程全体にフィードバックする。これが当社の目指すセキュリティ開発体制であり、実際にそうしたPDCAサイクルが日々回っている(図10)。
図10●新たな問題が見つかったら開発工程全体を見直す
その場限りで問題を解決するのではなく、開発工程全体で問題再発を防ぐ対策を盛り込む
[画像のクリックで拡大表示]
筆者らが所属するセキュリティ専門部署は、こうした楽天のセキュリティ活動を推進・支援する立場にある。本稿では開発の各工程での具体的な対策と、事例を基にした改善サイクルの取り組みについて解説する。
