「ネットワーク経由でWebアプリケーションの脆弱性をチェックするサービスを利用する企業が増えているのは危険な風潮」。シマンテックのコンサルティングサービス本部でセキュリティに関するコンサルティングを手掛けるテルミ ラスカウスキー ディレクターは、こう指摘する。「サービスに依存すると、システム開発の段階からセキュリティを考慮する意識が薄れてしまうから」(同)である。

 シマンテック自身、スキャナと呼ばれる、脆弱性チェック・プログラムを使ったサービスを提供している。ただ、「他社のサービスを含め、スキャナだけでは見付けられない脆弱性は少なくない」(ラスカウスキー氏)。SQLインジェクションなどの攻撃手法を想定したチェックはできても、人間でないと判別できないような脆弱性があるというのだ。「例えば、認証しなくても会員用ページにアクセスできてしまうというのは、仕様なのか脆弱性なのか判断しづらい」(同)。

 そこで同社が力を入れているのが、セキュアなアプリケーションを開発するためのコンサルティング・サービスである。開発段階でアプリケーションの脆弱性をなくすような開発プロセス作りを支援する「セキュアアプリケーションサービス」は、米国で2年前に、国内では昨年11月に開始した。

 人材育成にも力を入れている。今年9月20日に開始した資格認定サービスが、その一つである。「物事をセキュアにするとはどいうことなのか、という観点を身に付けることを目的にしている」(ラスカウスキー氏)。開発フェーズごとに四つの資格を用意。分析・要件定義フェーズの「セキュアアプリケーションアナリスト」、設計フェーズの「セキュアアプリケーションアーキテクト」、開発フェーズの「セキュアアプリケーションプログラマ」、テスト・フェーズの「セキュアアプリケーションテスティングエンジニア」である。

 この資格認定サービスはシマンテック日本法人の発案で、米国にはない。「1年後には3000人程度の資格者を認定したい」(ラスカウスキー氏)という。