Webアプリケーションに残っていた脆弱性を攻撃される事例が後を絶たない。公開するには脆弱性診断が必要だ。しかし開発に速度が求められる今、それだけでは対応しきれない。リリース間隔が短いWebアプリケーションでは別の取り組みも必要だ。
企業と顧客の間で、Webを通じてやりとりする情報の量や重要性が増すに従い、今まで以上に企業側に強く求められるようになるのが、十分な「セキュリティ」だ。一般に知られているような脆弱(ぜいじゃく)性が存在するWebサイトやWebアプリケーションを公開して、攻撃者に悪用されてしまった場合、ビジネス上の機会損失や被害を受けたユーザーへの賠償など、大きな金銭的損害が発生するリスクがある。
セキュリティの重要性、特にWebアプリケーションに関わる脆弱性に関しては、以前から対策の必要性が叫ばれている。第三者による「脆弱性診断」を定期的に実施し、必要な対応を実施してきた企業もあるだろう。しかし、そうした「脆弱性診断」だけでは、対応が難しくなっている状況もある。
第三者による脆弱性診断では、Webサイトやアプリケーションのリリース前に一括でチェックを依頼し、問題がないかどうかを確認する形式が一般的だ。自社で運営する全てのWebサイトに対して、外部の事業者に診断を依頼する場合、コストが高額になりがちであり、年に1〜数回といった頻度でしか診断できないケースもある。
近年、特に一般消費者を対象としてサービスを提供する企業では、新たなアプリケーションを次々とリリースし、その後も数週間程度の短いタイムスパンで改善と機能強化を施したいというニーズが強くなっている。年に数回程度の診断では、リリースと変更が頻繁に繰り返されるアプリケーションには合わない。深刻な脆弱性が長期にわたって放置されたり、1回の診断によって多数の脆弱性が発見されて、改修にかかる時間やコストがかさんだりという状況が起こりやすくなっているのだ。
では、今後も企業が脆弱性を狙った攻撃から自社と消費者を適切に守りつつ、Webアプリケーションを迅速に開発、運用し続けるためには、どのような方法があるのだろうか。
提供:株式会社ユービーセキュア
アイティメディア営業企画/制作:アイティメディア編集局
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。