東京海上日動システムズは、Webアプリケーションの脆弱性検査ツール「AppScan」を導入。Webアプリケーションの開発標準プロセスに組み込んだ――。AppScanを開発・販売するウォッチファイア・ジャパンが8月28日に、こう発表した。実際の利用は今年3月からである。

 導入のきっかけについて東京海上日動システムズの経営企画室は、「他社がセキュリティ侵害に見舞われたこと」と話す。同社は東京海上日動火災保険を中核とするミレア・グループ各社の情報システムの開発・保守を担当している。20万台のクライアント端末を擁する代理店オンライン・システムなど、東京海上日動の100種類に及ぶWebアプリケーションの“堅牢性”を高めるべく、他社の障害事例を分析・研究して、ミレア・グループ内に防止策を展開する対策委員会を設けている。

 「正直、これまでの脆弱性対策が100%と言い切れないところがあった。脆弱性検査の観点や手法で各開発者のスキルに依存する部分があり、標準手法もなかった」(同)。また短期化する開発期間の中では、人手による検査にも限界を感じていたという。

 そこで2005年半ばからツールの導入を検討。機能と実績、操作性の3つの観点で、3社のツールを評価した。検査対象サイトの構造解析からレポート生成までを自動化する機能、脆弱性の修正方法を提供するレポート機能、GUIベースの操作性などの面からAppScanを選んだという。導入支援はAppScanの販売代理店であるテクマトリックスが実施した。

 現在、東京海上日動では基幹システムの再構築プロジェクトを進めているが、新システムでもAppScanによる脆弱性検査を必須としている。また、東京海上日動あんしん生命保険などミレア・グループ各社でもAppScanの導入を進めているという。