米Verizon Communicationsの事業部門Verizon Businessは米国時間2009年7月9日,企業のアプリケーション・ソフトのセキュリティ水準を評価するプログラム「Verizon Application Security Program」を発表した。

 このプログラムは,大規模な企業顧客がアプリケーションにおけるセキュリティ・リスクを理解・判断できるようにサポートするほか,これらに対する予防策を講じるもの。「Baseline」「Assess」「Certify」の3段階で構成され,ニーズに応じて選択できる。

 第1段階では,アプリケーションの基本的なスキャンやソフトウエア開発サイクルの見直しなどを通じて,アプリケーションのリスク評価を実施する。リスク水準を判断するためにアプリケーションが使用するデータの種類を確認するほか,最もリスクが高いアプリケーションを割り出す。

 次の段階では,リスクが高いアプリケーションに焦点を当て,これらに攻撃が仕掛けられた場合の事業への影響を評価する。アプリケーションのぜい弱性評価,侵入テスト,セキュリティ・ソースコードの見直しなどを実施する。

 第3段階としては,企業の情報セキュリティ管理やポリシーなどをVerizonのセキュリティ基準に照らし合わせて検証する「Verizon Cybertrust Application Certification」をオプションで用意する。認定を受けた企業は,「Verizon Cybertrust」ロゴを表示できる。認定後は1年ごとに更新が必要となる。

 同社の調査によれば,攻撃者が安全ではないアプリケーションを突いて企業に侵入し,機密データやシステムにアクセスしているケースがしばしば見受けられるという。2008年に確認されたデータ侵害のうち,79%はWebアプリケーションへの攻撃を通じてアクセスされたものだったという。

発表資料へ