インターネットの世界で幅広く事業展開しているGMOインターネットグループ。その中で、ネット利用の定番となっている無料ブログサービス「ヤプログ!」や、メーリングリストサービス「freeml」を運営するのがGMOメディア株式会社(以下、GMOメディア)だ。同社は、「freeml」のスマートフォンアプリケーションのバージョンアップ時に、京セラコミュニケーションシステム株式会社(以下、KCCS)と株式会社DNPデジタルコム(以下、DNPデジタルコム)が提供する「かかりつけWeb診断™」のスマートフォンアプリケーション診断を実施した。同サービスを利用した背景や今後の展望などについて、GMOメディア サービス開発部 マネージャー 天野 弘仁氏、同サービス開発部システムアーキテクト 色川 崇之氏に聞いた。
GMOメディアは、ブログやSNSといったコミュニティサービスおよび各種情報サイトの運営を行うインターネットメディア事業とデジタルコンテンツ提供事業を展開している。
そして「freeml」は、インターネットメディア事業の領域で1997年から運営している、利用者数1,000万人以上の日本最大級のメーリングリストサービスだ。メンバー同士でのスケジュールや写真、ファイルの共有ができるなど、グループウェア機能も充実しており、サークル活動からビジネスシーンまで幅広く利用されている。
「現在、弊社では20~30のスマートフォンアプリケーションを提供していますが、今回、スマートフォンアプリケーション診断を受けたのはバージョンアップ後の『freeml』のスマートフォン版です」と語るのはGMOメディア サービス開発部 マネージャー 天野 弘仁氏だ。
GMOメディアは従来から、Webサーバに搭載されたアプリケーションのセキュリティ診断を自社で行うなど、Webサーバのセキュリティ対策に取り組み、また、アプリケーションにおいてもセキュリティを意識した開発に努めている。しかし、スマートフォンが普及する中でセキュリティを意識した開発だけでは不安を感じていたという。
「スマートフォンアプリケーションのセキュリティ診断は社外にも事例がほとんどなく、診断方法については手探りの状態でした。アプリケーション開発にあたってはセキュリティを意識して開発しておりますが、私たちの見えないところに不安要素が隠れている可能性も考えておりました。その不安要素を払拭する手段のひとつとしてセキュリティのプロフェッショナルにチェックをお願いしようと考えました」(天野氏)。
「社内でセキュリティに強い関心を持っているのはサーバ寄りのエンジニアが多く、アプリケーション開発者でこの部分を専門的に調べる担当者を設けてはおりませんでした。」と振り返るのはGMOメディア サービス開発部 システムアーキテクト 色川 崇之氏。色川氏はすぐにWebサイトで情報収集を開始し、DNPデジタルコムが開催するスマートフォンのセキュリティに関するセミナーがあることを知り、2012年3月にセミナーに参加した。
「このセミナーは、『かかりつけWeb診断』のスマートフォン版を紹介するものでした」と語るのは、DNPデジタルコム マーケティング&セールス本部 本部長 清水 誠一氏だ。DNPデジタルコムは、2010年3月からKCCSが開発した「Web脆弱性診断サービス」の提供を受け、チケット制のWebサイト脆弱性診断サービス「かかりつけWeb診断」を提供している。
「当社は以前ユーザとしてKCCSのWebアプリケーション診断サービスを利用しました。そのときのユーザとしての経験をベースに、お客様のニーズに合わせてチケット制で提供するのが『かかりつけWeb診断』です。脆弱性診断が必要なことは分かっていても予算的に難しいケースが多いのが実情です。それに柔軟に対応するためにチケット制をメニュー化して1年間の有効期間中に自由に使ってもらえるようにしたのです」(清水氏)。
また、セミナーではKCCSのセキュリティ・スペシャリストが講演を行い、スマートフォンアプリケーションのセキュリティリスクについての解説も行った。KCCS セキュリティ事業部 アセスメント課 小峰 広道は、「セミナーでは、スマートフォンアプリが従来のWebアプリケーションとは異なる点が多く、マルウェアによるアプリ内に保存された機密情報の漏えいや、不正な無線LANアクセスポイントによる盗聴やデータの改変など、スマートフォン特有のセキュリティリスクがあることなどを説明しました」と語る。
セミナーでスマートフォンアプリケーションの危険性とスマートフォン向けアプリケーション診断サービスがあることを知ったGMOメディアでは早速調査を始めた。Webサイトで情報を収集し、3社を選定。そして、価格・診断結果レポートの内容・サーバ側とクライアント側双方の診断・iOSとAndroid OS両方の診断・スピード感を持った診断の実施に加え、診断結果をアプリケーション開発へのノウハウとして吸収できることを条件に比較・検討した結果、『かかりつけWeb診断』を選定した。「Web診断を実施しているベンダは多くありましたが、スマートフォンアプリケーションまで診断しているところはほとんどありませんでした。セミナーの講演で、KCCSがサーバ側もクライアント側も診断項目を細かく公開していたことに大変驚きました。セミナーの場でそれだけオープンにできるのであれば、実際の診断ではさらに細かくチェックをお願いできるだろうと考え選定しました」(色川氏)。
KCCSには、これまでにWebサイトとケータイサイトの両方を合わせて合計2,500サイト以上のWeb脆弱性診断の実績がある。また、社内にスマートフォン向けアプリケーションの開発部門があり、セキュリティを確保した安全なアプリケーション開発のノウハウも持っている。その経験とノウハウの上にスマートフォンアプリケーション脆弱性診断サービスを提供している。「今まで数多くのWeb脆弱性診断を行ってきましたが、傾向だけ見たいというお客様もいればマニュアル診断で細かく分析したいというお客様もいらっしゃいます。GMOメディア様は後者で、今回、サーバとアプリケーションの両方を診断したうえで報告会を行いアプリケーション開発のためのノウハウにしたいというご要望に添う形で実施しました」と語るのはKCCS セキュリティ営業部 セキュリティ営業課 パートナー営業グループ 木村 あゆみだ。
2012年7月、Android端末用アプリケーションを中心にサーバ側、クライアント側両方の診断を行った。「診断した結果、大きな脆弱性につながるものはありませんでした。KCCSの診断サービスでは開発における細かな改善点までインフォメーションとして報告しており、GMOメディア様からのアプリケーション開発のためのノウハウにしたいというご要望に適したサービスです。報告書は今後のアプリケーション開発にお役立ていただける内容になっています」(小峰)。
こうして開催された8月の報告会では脆弱性につながるような大きな問題点はないことが報告された。GMOメディアにとっては第三者から高い評価を受けることができ、アプリケーション開発の方法が間違っていないことが確認できた点は大きな成果だった。「提案から診断に至るまでスピード感を持って対応していただきましたし、要求していたことはすべて対応してもらいました。KCCSの診断サービスは点数でいえば100点満点で大変満足しています。診断結果で高い評価が出たので、細かい部分までチェックしてもらうことができたのか心配な面もありましたが、インフォメーションで細かな改善点まで明らかにしてもらえたことから、高い評価も細かな部分までチェックしたうえでの結果だったのだと納得しました」(天野氏)。
GMOメディアでは今回のレポートをアプリケーション開発の基礎固めに有用と判断しており、今後社内で共有しアプリケーション開発の一層の品質向上に役立てていくという。
KCCSは、今後もスマートフォン向けアプリケーション診断のみならず、セキュアなアプリケーションの開発支援や、開発プロセスの改善策の提供を通じて、安全なスマートフォンアプリケーションの構築・運営を支援していく考えだ。
導入セキュリティ製品・
ソリューション