テックスタイル 代表取締役の岡田良太郎氏
テックスタイル 代表取締役の岡田良太郎氏
[画像のクリックで拡大表示]

 「セキュリティ問題が発生した時,最大のキーファクターになるのは『人』」――。テックスタイル 代表取締役でWeb Application Security Forum(WASForum)理事の岡田良太郎氏は2008年8月22日,東京ビッグサイトで開催中の「エンタープライズ・リスク・マネジメント2008」の講演でこう述べた。

 岡田氏は,「WEBサイトの危機的状況におけるビジネス継続のコンセプトとマルプラクティス」と題して講演した。岡田氏が高木浩光氏らとともに理事を務めるWASForumは,Webアプリケーション・セキュリティの研究や啓蒙を目的とした団体。岡田氏は自身の会社で提供するセキュリティ関連サービスでの経験や,先日WASForumで行われたカカクコムやサウンドハウスなど不正アクセス被害を受けた企業の講演(関連記事)などに基づき,Webサイトのセキュリティ問題発生時における事業継続について解説した。

 岡田氏は,まず「問題発生時,復旧を行うにあたって継続が難しいのは,社員のモチベーション」であると指摘する。脆弱性を見落としたと技術者を責めるのではなく,緊急事態の中,対応に当たっている技術者を鼓舞することでパフォーマンスが上がると述べた。

 また多くのBCP(事業継続計画)は,ユーザー不在のままになっていると指摘した。「顧客の信頼を回復するには納得感が欠かせない。例えば,不正アクセスが発覚したあとにカカクコムは,顧客であるパソコン・ショップを社長が一軒一軒訪問したし,サウンドハウスも社長自ら数百通のメールを書いた」(岡田氏)という。顧客やユーザーの気持ちに配慮した対応の重要さを強調した。

 開発プロセスにおいては,テストを開発プロセスに組み込んでいかなければならないと岡田氏は述べた。岡田氏によれば,(アプリケーション開発後に外部から擬似攻撃を行う)ぺネトレーション・テストはソフトウエアの品質を保証しないという。「低コストのぺネトレーション・テストは,ひとつの問題を見つけたら,そこで終わりという傾向がある」(岡田氏)。また「ソフトウエアの品質とペネトレーション・テストは関係ない」という。「問題が見つからなくても,中身がメンテナンスしにく設計のこともある。問題が見つかっても,すぐ補修できるような設計であれば,その方が結果的にセキュリティは高い」(同)。

 重視すべきは,ソースコードを監査するホワイトボックス・テストであると岡田氏は指摘する。「ホワイトボックス・テストを自動化するツールもある。こういったツールを開発ライフサイクルに組み込んでいくべき。例えば一週間ごとにホワイトボックス・テストをすれば,技術者は問題のある設計やコードを学ぶことができ,教育効果は高い。ソフトウエアの価値を高め,再利用も容易になる」(岡田氏)。このような,セキュリティを開発サイクルに組み込むSecurty Development Lifecycleと呼ぶコンセプトが,Webサイトのリスクをマネジメントするために目指すべき方向であると岡田氏は強調した。