[画像のクリックで拡大表示]

 世界一のインターネットサービス企業を目指して、短期間で次々と斬新なWebシステムを自社開発する「楽天」。「楽天市場」を一例にしても分かるように、取引で利用されるカード情報やユーザー個人情報、プライバシー情報などを預かる同社では、これらのセキュリティ対策は最重要課題であり、同社のビジネスを支える根幹でもある。

 では、楽天はどのようにセキュリティ対策を進めているのだろうか?

 同社が力を入れているのが、開発段階でのWebアプリケーションの脆弱性の解決だ。サービスインしてから、脆弱性が発覚すれば、修正には開発時より大幅なコストと時間がかかる。特に楽天のようにWebサイトの更新サイクルが早く、多くの開発者を抱えるインターネットサービス企業では、高い作業効率とセキュリティ品質を両立させることが至上命題である。ひとたびサービスが止まったり、情報漏えいが起きてしまったりすると企業ブランドに計り知れないダメージを与えてしまう。

 その楽天がWebサイトの脆弱性をリリース前の開発段階でチェックできるツールとして、10年前に採用したのが、テクマトリックスの提供するWebアプリケーションセキュリティ脆弱性診断ツール「AppScan」だ。

 AppScanは生成したテスト用のHTTPリクエストをハッカー視点で送信することにより、自社内でタイムリーなブラックボックステストが行える。もちろん、アップデート機能により、最新の脆弱性にも対応する。こうしたセキュリティテストの自動化は手作業での診断に比べ、テスト時間やコストを大幅に削減する。外部委託に頼っていた場合は、自社テストに切り替えることで大幅なコスト削減も見込めるだろう。

 使いやすいGUI画面は、脆弱箇所だけでなく、検知された脆弱性により想定される被害も指摘。その修正方法や検証方法もレポートとして提供されるため、作業者の技術レベルに依存しない、テストレベルの均一化が実現する。

 さらに、テクマトリックスではAppScanの導入支援サービスやテクニカルサポートなど豊富なユーザーサービスを展開。デモサイトを活用したハンズオン形式での「トレーニングサービス」や、テスト結果から報告書を提供する「結果レビューサービス」などにより、AppScanの迅速な導入と運用をサポートする。

 楽天におけるAppScanの活用術とセキュリティ開発フローをまとめた資料は、以下よりダウンロードが行える。

ポイント

特徴
●ハッカー視点で脆弱性を診断するブラックボックステストの実現
●アップデート機能により、最新の脆弱性にも対応
●セキュリティテストを自動化し、コストやテスト時間を大幅に削減
●作業者の技術レベルに依存しないテストレベルの均一化を実現
●脆弱箇所だけでなく、検知された脆弱性により想定される被害も指摘
価格
Rational AppScan Standard Edition Floating User:231万7千円~(年間ライセンス)