株式会社インプレッション 様

事業内容: Webデザイン制作・運営、 データベース・システム開発、 インターネット・サービスプロバイダー、 コンピュータネットワーク・システム構築、 グラフィックデザイン制作
ご利用プランWebSiteScan

Webアプリケーションの脆弱性を低コストで把握信頼性の高いWebサイト構築を目指す

デザインからシステム開発、サーバ運用までシームレスなWebサイト構築サービスを展開する株式会社インプレッション様。優れたデザイン力と開発力は、JGTO、JGAなどの国内主要ゴルフ団体のWebサイト構築実績からもうかがえる。同社はAT-LINK専用サーバ・サービス『at+link』とアイティーエム(株)が提供する脆弱性診断サービス『WebSiteScan』を、同社の運営するWebサイトに活用。Webアプリケーションの脆弱性を把握して、セキュリティ強化を実現した。従来は自社で脆弱性チェックをしていた同社が、なぜ診断サービスを利用するに至ったのか。その背景を追った。

デザインとシステムの両面からWebサイトを構築

1988年にデザインプロダクションとしてスタートしたインプレッションは、1995年からインターネットビジネスにも進出して、Webサイト構築サービスを開始。さらに翌年には第二種一般通信事業者の認可を取得して、サーバ構築と運用管理サービスをスタート。現在は、デザインからシステム開発、サーバ運用まで含めたWebサイトサービスをシームレスで提供している。
インプレッションの強みは、デザインとシステムの両面からの開発だ。基幹システムと連携した動的なWebサイトを構築する場合、一般的にはまずシステムありきのため、結果的に使いづらくて見づらいWebサイトができあがるケースが少なくない。SIerとデザインプロダクションに別々に発注するとこのような事態を招きやすいが、同社は社内にデザイン部門とシステム部門を擁しているので、初めからデザインやナビゲーションを意識したシステム開発ができる。
その成果の一つが、ゴルフ団体のWebサイト構築だ。このオフィシャルサイト構築では、企画フェーズから参加して、システム開発からサイト構築、サーバ運用まで担当。スコア収集および選手資格管理を一元管理する基幹システムと連携して、スコアや記事、写真などの情報がリアルタイムに配信されるWebサイトを構築した。同サイトは非常に見やすいデザインで、1ツアーで約400万ページビューに達することも珍しくない人気サイトになっている。
同社では、2007年12月にアイティーエム(株)の脆弱性診断サービス『WebSiteScan』を同社の運用するサイトに活用。Webアプリケーションに潜む脆弱性を客観的に把握して、より安全なWebサイトの構築に活かしている。

『WebSiteScan』は信頼できるパートナーからの提案だった

インプレッションでは7年前から、株式会社リンクと株式会社エーティーワークスの協同事業である『at+link』を利用して、ユーザのシステムを運用している。その経緯を代表取締役の岡野正道氏はこう明かす。「もともとはIDCを利用して自社で運用していたのですが、事業の広がりとともに負担が大きくなり、運用をお願いすることにしました。24時間365日のサポートはもちろん、障害発生時の手順書をお渡ししておけば夜中でも迅速に一次対応していただけるので、安心してお任せできます。また、お客様との打ち合わせ段 階から積極的に参加してくれるのもありがたい。まさに弊社のパートナーです」
じつは脆弱性診断サービス『WebSiteScan』を導入したきっかけも、アイティーエム(株)とアライアンスを組む『at+link』からの提案だったという。
「これまでもリンクさんからご提案を受けたサービスは、積極的に利用して試してきました。Webアプリケーションの脆弱性診断も、今後、必要になるだろうと考えていたころにちょうど提案をいただいたので、さっそく導入を開始しました。そこでシステム改修のタイミングを迎えていたWebサイトに対して1回目のテストを行うことにしました」

Webアプリケーションの脆弱性を低価格で診断

これまでインプレッションでは、Webサイト構築時に脆弱性診断サービスを利用するケースがほとんど なかった。開発したエンジニア自身がアプリケーションの脆弱性について厳重にチェックすれば、ユーザが求めるセキュリティレベルは十分に確保できたからだ。
ただ、例外的な案件もある。例えば研究機関や金融機関など、とくにセキュリティ重視のシステム開発では、第三者機関によるペネトレーションテストを求められることもある。この場合、実質的にリスクがなくても証明のためにペネトレーションテストを受けなくてはいけないが、そこで問題になるのはコストだ。
「Webアプリケーションやネットワークまで含めた大掛かりなペネトレーションテストになると、軽く100万~200万円は必要になります。そこにコンサルが入ると、さらに費用はかかってしまう。そもそも『at+link』はセキュリティに関して万全な体制を取っているため、開発のたびにネットワークのテストをする必要はありません。Webアプリケーションの脆弱性に絞った低価格のサービスがあれば、それを利用してシステムの安全性を証明するのがもっともコストパフォーマンスが良いと考えていました」(前出・岡野氏)こうしたニーズを満たすのが、アイティーエム(株)の脆弱性診断サービス『WebSiteScan』だった。
『WebSiteScan』は、ページ無制限で1URL単位19万8000円(2回診断)。提案を受けた同社がさっそく利用を決めたのも、必要な部分だけ低価格でテストを受けられるからだった。

最新のセキュリティ基準で脆弱性を評価

今回、同社が脆弱性診断を利用したWebサイトでは、メールアドレス以外、個人の特定につながるような個人情報は収集していない。データベースに格納されるのはもともと公開している情報で、機密漏洩のリスクもない。またWebサイト構築時に、同社で脆弱性のチェックもしている。はたして今回、新たに診断を受けた目的は何だったのか。システム開発を担当する日置聡氏は、その理由をこう明かす。
「このWebサイトを構築したのは約3年前。当時は私たちがリスクとして認識していなかった脆弱性が、現在ではリスクとして評価される可能性もある。たとえもともとリスクが小さいWebサイトでも、ある程度の年数がたてば、最新情報で客観的な評価をすべきでしょう」
最初の診断は12月に行われた。診断結果は詳細なレポートで報告されるが、同サイトの場合、レポートは予想していた数よりも多く出てきた。
「正直、驚きました。動的なページを構成しているWebサイトの場合、同じ脆弱性がページごとにカウントされることがあるので、実際の脆弱性はレポートの数より少なくなります。ただ、それでも想像していたより多かった」
今回、具体的な脆弱性として判明したのは、SQLインジェクションだ。実はWebサイト構築時もSQLインジェクションの存在を把握していたが、データベースにあるのは公開情報で、システム的にもプロテクトしていたため、当時はリスクとして捉えていなかった。
「データベースが書き換えられる可能性もゼロではないため、現在のセキュリティ基準で考えれば、リスクとして認識すべき脆弱性なのでしょう。このように改めて客観的にリスクを把握できるのも、『WebSiteScan』のおかげです」
この診断結果を参考に、2週間以内での迅速な修正対応を実行している。

他社システムの引き継ぎで効果を発揮

今回のWebサイトの診断は、いわばテストケース。今後は必要に応じて、他のWebサイトにも脆弱性診断サービスの利用を進めていく考えだ。とくに利用頻度が多いと予想されるのは、他社が開発したシステムを引き継いで運用するケースだろう。
「他社が開発したシステムの脆弱性を、コードまで調べてチェックするのは負担が大きすぎる。かといって、 脆弱性を把握しないまま運用することもできないので、『WebSiteScan』が大いに活躍してくれると思います」と岡野氏は期待を寄せる。ネットワークのセキュリティは『at+link』に任せて、Webアプリケーションの脆弱性は『WebSiteScan』でチェックする。この鉄壁のパターンで、同社はどのようなWebサイトを構築していくのか。今後も引き続き注目したい。