これは電通国際情報サービス アドベントカレンダーの22日目の記事です。 こんにちは。電通国際情報サービス(ISID) X(クロス)イノベーション本部ソフトウェアデザインセンター セキュリティグループの富田です。 本記事はISIDで20年継続している全社的な施策のセキュリティレビューをご紹介し、その活動を振り返ってみたいと思います。
背景
現在のシステム開発を取り巻くセキュリティ概況は、顧客情報の漏えい、機密情報の窃取、ランサムウェアによる脅迫など被害報告が後を絶たず、攻撃は高度化・巧妙化していると言えます。そのため、セキュリティ確保の要求は日々高まっています。そのような状況の中、システム開発に目を向けると、開発チームが脅威とその対策方法を個別に調査するのには限界があると考えています。そこで必要になるのがセキュリティ専門チームによる調査・検証で得た知見の蓄積と展開です。
知見の展開では、全社的に進めることが欠かせません。ISIDではセキュリティ専門チームによる部門横断のセキュリティレビューを行っています。
セキュリティレビューの開始は、1990年代にさかのぼります。
1998年に、当時はチャレンジングだったJava技術を適用したインターネットバンキング構築を行いました。その経験から、早期からWebアプリケーションのセキュリティに関心を持っていました。
2001年頃にWebならではの新たな脅威が発生します。クロスサイトスクリプティング等の新たな脅威が現れました。これを機に、2001年に組織的な対応を検討し、セキュリティレビューのプロセスを策定しました。そして、2002年にISIDのセキュリティレビューが開始されました。
2008年には、要件定義/設計時のセキュリティレビューに加え、構築システムのアプリケーション部分(及びインフラの一部)のセキュリティチェックを目的に、脆弱性検査(静的検査と動的検査)を開始しました。
その後、継続して改善と強化を行っています。
ISIDのセキュリティレビューについて
セキュリティレビューの目的、受託開発やISIDの製品/サービス開発のプロジェクトにおけるセキュリティリスクを低減することです。レビューは、プロジェクトのフェーズに応じて段階的に実施し、設計面のセキュリティにおいて一般的な脆弱性検査より踏み込んだレビューによりセキュリティを確保します。
提案時のセキュリティレビュー
設計時のセキュリティレビュー
- 非機能要件定義書/基本設計書の内容を元に、チェックシートを使って対策のレビューを行います。
脆弱性検査(静的検査、動的検査)
- 構築システムのアプリケーション部分およびインフラの一部に対して、検査ツールを使用して脆弱性検査を行います。
レビュー体制は、セキュリティ分野の有識者で構成された10名ほどの専門チームです。具体的には、セキュリティ専門グループのメンバーだけでなく、開発技術とクラウドアーキテクチャの専門グループのメンバーも参画しています。
この20年で変わっているものは
2008年に脆弱性検査が追加され、その時点でレビュープロセスとしては概ねできあがっていますが、その後はプロセスに従って形式的にレビューを実施してきたのでしょうか?
そうではありません。
それは、レビューの題材が変わるからです。以下の要素が変化し、絡み合ってきます。
その他の変化には、セキュリティレビューで使用するチェックシートがあります。 設計時のセキュリティレビューに利用するセキュリティ対策チェックシートも変わっていきます。例えば、以下のような分野別のチェックシートを新規に作成してきました。
これらは、プロジェクトでの適用可能性が出てきたタイミングで作成しています。 その他にも、セキュリティ対策チェックシート本体を含めたチェックシートを定期的(半期に1回程度)に見直しています。
これらのチェックシートは、セキュリティ専門チームの調査・検証の成果をもとに、新しい脅威への対策やセキュリティ対策のベストプラクティスなどをタイムリーに反映(育てているイメージ)したものです。特長としては、何のための対策かが分かるようにしている点です。
大事にしてきたポリシー
セキュリティレビューを進めるときに大事にしてきたことは、当事者意識を持って、「問題の指摘と対応案をセットで伝える」ということです。プロジェクトの開発チームとは別の第三者的なチームとしてセキュリティレビューを行いますが、最終的なゴールは同じです。良いシステムを作り、顧客の要求にこたえることです。
今後について
セキュリティ確保の要求が強まっている状況において、最新の脅威やクラウドサービスの進化などに追随すべく、セキュリティ専門チームによるより広く深い知見の蓄積と展開が必要だと考えています。ISIDでは、従来のやり方にとらわれない、開発手法などのトレンドに応じたセキュリティレビューの仕組みを作っていってくための体制強化を行っています。
執筆:@tomita、レビュー:@sato.taichi (Shodoで執筆されました)