シマンテックが業務アプリのセキュリティ対策コンサルを開始--「日本版SOX法で必要とされる」

　シマンテックは11月8日、業務アプリケーションのセキュリティに関するコンサルティングを実施する「シマンテックセキュアアプリケーションサービス」の販売を開始した。官庁、金融機関、製造業、ソフトウェア開発企業を対象にする。

　セキュアアプリケーションサービスは、業務アプリケーションの要求定義から設計、インプリメント、試験、実稼働、保守に至るまでのすべての過程でセキュリティリスクを減少させる。

　提供されるサービスは（1）環境整備、（2）評価・診断、（3）教育--の3つからなる。（1）の環境整備には、CやJavaなどのコーディング規約、不正アクセスなどのリスクが実際に起きた際の防御手段をどうするかなどをまとめておく。

　（2）の評価・診断では、システムのどのアプリケーションにどのようなセキュリティリスクがあるのかを分析する。また、ソースコードを実装レベルから脆弱性などの問題点を明らかにし、評価ツールを利用して、どのように改善していくべきかをまとめる。さらにアプリケーションへの侵入テストも実施する。

　（3）の教育では、セキュリティの基本、アプリケーションセキュリティ、サイバー攻撃と対応策などの教育をアプリケーション開発者やシステム管理者などに提供する。

　シマンテックのコンサルティングサービス部で部長を務める山内正氏は「近い将来に成立すると見られる“日本版SOX法”で業務アプリケーションのセキュリティを必要としている」と説明する。

　現在議論されている日本版SOX法は、企業がまとめる財務報告が完全で正確であるかを証明しなければならない。その中で日本版SOX法は、個別のアプリケーションが正しい取引処理をし、アプリケーションが正しい記録を確保していることを保証する「業務処理統制」を必要としている。

　業務処理統制で、各業務領域においてコンピュータなどのデータが適切に収集・処理され、財務報告に反映される業務プロセスとなっていることを確保しなければならない。このことから業務アプリケーションがセキュリティリスクを抱えていないことが必要とされる。

　また、政府から10月に発表され、現在議論されている「政府機関の情報セキュリティ対策のための統一基準」でも、ソフトにセキュリティホールが混入しないための対策が必要とされている。

　山内氏は、これらの法令遵守（コンプライアンス）の面からも「業務アプリケーションのセキュリティ対策が必要」だと主張している。

　山内氏によれば、「業務アプリケーションのセキュリティ対策について、包括的に対応したのはセキュアアプリケーションサービスが日本初」としている。

　セキュアアプリケーションサービスは、CやC#、Javaなどの現在主要なプログラミング言語に対応しているが、「主要言語以外で構築されたアプリケーションに対しては、リバースエンジニアリングでコードレビューできる」（山内氏）という。