オプスインのセキュリティ対策の取り組み

2019年に世間を驚かせたセキュリティ事件といえば、利用者に金銭被害が生じるなど多大なインパクトがあった「7pay」の不正アクセスではないでしょうか。 それ以外にも、「クロネコメンバーズ」の不正ログインや、ゆうちょ銀行を騙ったフィッシング詐欺など、2019年も世間を騒がしたセキュリティ事故が相次ぎました。 JNSAの調査分析で2018年の調査報告書を見ますと、セキュリティ事故の件数としては「紛失・置忘れ」や「誤操作」が多く、次いで「不正アクセス」「管理ミス」と続き、割合としてはセキュリティ事故の75%を占めています。 一方でWebサイトの改竄や乗っ取り等のセキュリティホールに起因する被害は、前述のケースと比較して少ない件数となっていました。 ■引用：JNSA セキュリティ被害調査ワーキンググループによる個人情報漏えい事件・事故の調査分析（2018年） これはWebシステムの開発で利用しているフレームワークの進化や、開発の現場でセキュリティ対策の取り組みが進んでいるからといえるでしょう。 つまり、Webシステム開発においては正しくセキュアに取り組むことで、不用意なセキュリティ事故を避けることができるということです。 本記事でオプスインではどのようなセキュリティ対策に取り組んでいるのかを紹介したいと思います。 目次：   Webシステム開発での取り組み 基盤のセキュリティ対策 まとめ 1.Webシステム開発での取り組み オプスインの手掛けるWebシステムではRuby on Railsベースのシステムが多いのですが、Rubyのgemライブラリには「brakeman」というセキュリティに重点を置いたRailsプロジェクトの静的解析ツールがあります。 これはソースコード上にSQLインジェクションやXSS等の脆弱性と疑わしき箇所がある場合に検知してくれるツールで、例えばURLパラメータを検証せずにそのままプログラム内で利用しようとすると「Security Warnings」として該当箇所のコードが分かる仕組みになっています。 この「brakeman」を利用することによって、システム開発時のコーディング段階で作り込んでしまった脆弱性を洗い出すことが可能となり、セキュアなシステム開発に取り組むことができています。   ■参考：https://github.com/presidentbeef/brakeman   また、開発完了時には「OWASP ZAP」を用いたセキュリティテストを実施しています。 この「OWASP ZAP」はWebシステムのセキュリティに関するガイドやツールを公開している「OWASP (The Open Web Application Security Project)」が開発しているオープンソースのWebシステム脆弱性診断ツールです。「OWASP ZAP」には様々な使用方法がありますが、そのうちの一つとして実際にブラウザを操作して対象のWebシステムの使用方法を記録し、データの入出力なども再現しながら各機能ごとに脆弱性診断を行う機能があり、CSRF対策しているWebシステムでも大部分の機能を網羅することができ、とても重宝しています。   ■参考：OWASP Zed Attack Proxy Project   Webシステム開発時の取り組みとして活用している「brakeman」や「OWASP ZAP」ですが、これらは機械的に検知するため、どうしても誤検知の可能性が付いて回ります。 何に対してアラートが上がっているのか、最終的にはしっかりと人間の目で確認することで、出来る限り脆弱性を作り込まないシステム開発が可能になるように取り組んでいます。 2.基盤のセキュリティ対策 セキュリティ対策において、セキュアなコーディングを車輪の片輪とするならば、もう片方はセキュアなインフラの構築にあると考えています。オプスインでは主にクラウドサービスを利用しているため、基盤のセキュリティには十二分に留意しています。 まず、サーバーにアクセスできるユーザーを限定するため、原則として公開鍵認証を必須としたサーバー運用を行っています。 そして、特にセンシティブな情報を取り扱う本番サーバーへのアクセスにおいては、接続元のIPアドレスも限定することで、不用意に第三者がサーバーへアクセスすること自体をできないように対策を行っています。 アクセスできるユーザー、環境を制限することで、悪意のある攻撃者にサーバーそのものが晒されないように対策しているのです。 また、WAF（Web Application Firewall）やIDS（Intrusion Detection System）、IPS（Intrusion […]

発注前に知っておきたい！システム開発の流れと注意点

インターネットの発達に伴い、デジタル化が進む昨今では、事業を推進するためのシステム開発が必須となりつつあります。技術者が必要となるシステム開発にハードルを感じる人も多いのではないでしょうか。システムを自社開発できない企業は、開発会社に外注する方法が最適です。開発会社では効率的にシステム開発を行えるため、開発にかかる余計な時間や費用を減らせます。 システム開発を外注するには事前に開発の流れを知っておき、発注する際の注意点を知っておくことが重要です。当記事では、依頼から開発までの流れやキーポイントについて解説していきます。 目次： 依頼から開発までの基本的な流れ 発注側も基礎知識を持ち、協力する姿勢が大切 誤解しやすい保守と運用の違いは？ 無駄な追加請求を抑える見積もりとは？ 契約書を締結する際のポイントとは？ 開発会社に丸投げしない姿勢が大切 依頼から開発までの基本的な流れ 開発会社にシステム開発を外注する場合、基本的には以下の流れに従って開発が進みます。システムの規模や特性によって違う場合もありますので、あくまでも基本の流れをご紹介します。 打ち合わせをして、システム開発会社が提案書を作成   ↓   提案を確認して発注     ↓   システムの詳細仕様を決める     ↓   仕様を確認してから開発     ↓   完成したシステムの検証     ↓   システムの公開     開発会社でシステムを開発する場合、最初に開発するシステムに求める機能を決めるために打ち合わせをします。必要な機能やアイデア、予算の上限を初回の打ち合わせで決めることもあります。発注側の要望をヒアリングした開発会社は後日、提案書や見積書を提示して確認を取ります。提案書にはシステム導入によるメリットが記載されていて、システム開発の必要性を考慮するときに役立ちます。開発会社の提案に同意をしたら、次にシステムについて打ち合わせを行います。開発するシステムを具体的に決めて、設計書が完成するまで綿密にコミュニケーションを取りましょう。 打ち合わせでシステムの仕様がすべて決まったら、開発会社から仕様が提示されます。仕様は開発した後に変えることは難しいので、問題がないかシステムの設計をよく確認しましょう。仕様に問題がなければ開発会社にて実際にシステム開発を行います。開発が終わったら発注側とシステムの検証を行い、動作する機能や必要な条件を満たしているか発注側が確認をします。条件を満たしたシステムが無事完成したら、開発会社にてシステムを公開します。 発注側も基礎知識を持ち、協力する姿勢が大切 専門的な知識を持っていない人がシステム開発を外注することもあり、中には開発会社に丸投げしてしまう方もいます。しかし、システム開発を成功させるためには、発注者側が基礎的な知識を備えておくことや、事業を成功させるためにしっかりと協力体制を整えていくことが重要なポイントです。   発注側が仕事を丸投げする問題点   システムの開発を担当する開発会社は、発注側と比べると業界への知見を深く保有していないことがあります。発注する企業では常識だと認識していることでも、開発会社にとっても常識であるとは限りません。企業で行っている事業を誰よりも知っているのは発注する担当者であり、担当者が積極的にシステム開発へ参加することが必要です。より良いシステムの開発には協調性が求められます。 家族で住む家を建てるときに、建築会社と細かいところまで仕様を決めるのと同じことです。家が完成するまで何度も確認をして、初めて希望に合ったお家に住めるようになります。公開したら何年もシステムを使っていくのですから、システム開発においても同じことです。開発会社にすべて任せるのではなく、発注側も積極的にシステム開発に参加しましょう。 誤解しやすい保守と運用の違いは？ 開発したシステムを事業に導入していくには、技術者が保守や運用をする必要があります。システムの管理には費用がかかるため、制作会社に依頼する前に保守や運用を詳しく理解しておきましょう。   システムを修正するのが保守   事業でシステムを利用していると、機能に不具合が発生したりセキュリティ性能が落ちたりします。システムにおける問題点を直すためにITエンジニアが行うことを保守と呼びます。不具合が発生したら原因を究明して、問題のある箇所を修正して改善作業をします。顧客情報などを保存するデータベースや企業のサーバーをメンテナンスするのも保守です。新しい機能をシステムに追加するのも保守と呼ぶケースもありますが、一般的には追加開発として、保守とは区別されます。発注の際は保守の範囲を確認しましょう。   システムの稼働を確認するのが運用 […]