『システムインテグレーターのための顧客攻略セミナー』講演報告

●セキュリティ統制がビジネスの鍵を握る

　2007年11月15日、「日経ソリューションビジネス」主催のセミナーが開催されました。イベントのメッセージは、「現在、企業のIT投資が上向く中、好調とはいえないシステムインテグレータの業績を伸ばすことを目指す必要があること、業績回復のために、『新規開拓』『既存顧客との取引拡大』を目指して、新たな提案を行う必要性に迫られていることを謳い、現在企業が抱えている課題を解決する４つのテーマを挙げて、提案の勘所とキーとなるソリューションを紹介する」というものです。

　私たちラックでは、今改めてセキュリティを確保されたシステムが顧客から求められていること、『セキュリティ統制がシステムインテグレータ様のビジネスの鍵を握る』ことを、取締役執行役員セキュリティ事業部長の仲田聰より提案しました。

●「個人情報119」の現場から見えたWebアプリの脆弱性

　ラックが提供する、お客様の情報漏えい時の緊急対応サービス「個人情報119」をご紹介し、2006年、2007年の事象から被害の傾向をレポートしました。個人情報漏えい時には、システムを開発したシステムインテグレータ様も巻き込まれます。

“たった一つのプログラムにお客さまの命運がかかっている”

　セキュリティインシデントの現場から感じた、セキュリティ統制の重要性を謳いました。

また、Webサーバの対策が進む傾向が見られる反面、Webアプリケーションへの対策が未整備で危険であること、それらの脆弱性の多くは入力文字のチェックで事前に防ぐことができることを、自社の診断サービスの顧客統計からレポートしました。

●要件定義からのセキュリティ対策が最善

　これらの問題に対してラックでは、要件定義の段階からのセキュリティ対策が最善であることを訴えかけました。設計からの対策がもっともコストがかかりません。一例として、FORTIFYのソースコード診断ツールのご紹介や、リリース判定前のセキュリティ診断が有効であることを、Webアプリケーションに対して診断を行い、問題点を検出するなど、リリース判定の一部としての利用を提案しました。

　さらには、診断サービスの効果的な利用方法として、運用フェーズにうまくのせることが重要であることを伝えています。ＰＤＣＡのサイクルを考慮し、サービスの仕様を変更したら、診断で確認するなどの、定期セキュリティ診断が効果的であることも提案しています。

●率先してセキュリティ診断の提案を！

　情報漏えい緊急対応サービス「個人情報119」を通して、様々な現場を私たちは垣間見ました。事件が起きてからの事後対応による企業様、そしてシステムインテグレータ様の大変さを目の当たりにし、事前対処の必要性を痛感しています。

　セキュリティトラックの基調講演となった、日経ソリューションビジネス編集長宮嵜清志氏のメッセージでもセキュリティ導入目的は、「怖いから入れる」「できるだけ手間を省きたいから入れる」であるとしています。発想が“守り”、社内エンドユーザへの配慮が足りないことなどを問題視する中、だからこそ、システムインテグレータ様は提案する機会があるとも言っています。

“率先してセキュリティ診断の提案を”

　私たち、ラックから参加者となったシステムインテグレータ様へ送ったメッセージです。セキュリティの専門家、わたしたちラックにご相談ください。