Webサイトの脆弱性への攻撃に起因する情報流出が目立つようになった2013年頃から、当社では社内向けに脆弱性に関するセミナーを実施するなど、脆弱性対策に関する意識向上に努めてきました。脆弱性対策の一つとして、リリース前検査等の実施を推奨していましたが、実施の要否とそのレベルは各プロジェクトに委ねられており、セキュリティレベルにばらつきが生じていました。また、実施の手段は「外部の脆弱性診断ベンダに委託」、または「プロジェクトメンバが内製で実施」のいずれかであり、プロジェクトによってはコストや技術面が課題となるケースもありました。
脆弱性検査のツールとしてどれを選ぶか。Vexを含め3つのツールが選択肢に上り、実際のプロジェクトに導入してその使い勝手や検査精度などを比較検証しました。その結果、選んだのがVexです。
決め手は、日本語レポートとUIのわかりやすさでした。当社では組込システム開発の技術者もIoTなどに関連してWebシステムを開発する機会が増えていますが、Webアプリケーションの脆弱性にも詳しい技術者ばかりではありません。VexはWebアプリケーションやその脆弱性に詳しくない開発者にもわかりやすい日本語レポートが出力され、脆弱性への対応や対策方法といった情報まで提供してくれるところが大きな決め手となりました。しかも、レポートは品質が高くそのままお客様に見せることができるため、レポート作成の工数も削減でき、プロジェクト全体の生産性向上にも貢献できると考えました。
ヘルプやマニュアルがVex上からすぐ閲覧できるなど、わかりやすいUIが提供されていることは、今後、技術者を育成する上でも大事だと考えています。また、使い勝手の良さに加え、誤検知が少ないなど精度の高さも選定の大きな理由となりました。
脆弱性検査を導入する構想は2013年からありましたが、本格的に導入を決定してから、2ヶ月程度で実運用に至りました。2017年のStruts問題を契機とする経営層の理解もあり、導入に至るスピードは早かったです。導入後はスムーズにシステムを立ち上げることができました。不明な点などはユービーセキュア社のサポートに問い合わせれば、スピーディに対応していただけます。サポートの良さも、Vexを高く評価するポイントです。
また、当社ではVexを利用した脆弱性検査で2つの運用形態を用意しました。一つはソフトウェアの品質を検査するテストチームがある沖縄開発センターと技術管理統括部セキュリティマネジメント部が共同で立ち上げた「社内向け脆弱性検査サービス」を利用する方法、もう一つはプロジェクトにVexを貸し出して開発者自らが検査するという方法です。いずれも社外に情報を共有する手間やリスクを抑えることがメリットです。後者の場合は、技術管理統括部セキュリティマネジメント部が開発者向けに脆弱性診断の基礎からレクチャーを行っています。
Vexの導入効果の第一は、適切なコストとスキルで脆弱性検査ができるようになり、さらに、脆弱性検査が義務化されたことで、システム開発の品質が向上したことです。第二は、開発者のセキュア開発への意識が高まったことです。Vexは、例えばクロスサイトスクリプティング(XSS)の脆弱性があると、スクリーンショットを自動出力します。開発者はそれを見ることで脆弱性についてぼんやりとしかわかっていなかったことが具体化され、理解できるようになります。プロジェクト全体の意識が高まることで、お客様への新たな提案にもつながり、「セキュリティを含めた提案をしたい」「同行してお客さまに詳しい説明してほしい」などの相談も増えています。
富士ソフトは、セキュアなシステム開発・運用を提供する企業として、日本のシステム開発・運用を牽引していきたいと考えています。そのためにも要件定義からシステム・運用テストにいたるさまざまな工程でさらなる高度化を図り、最適なセキュリティの実現を目指してまいります。