ページの先頭です。
本文へジャンプする。

本ウェブサイトでは、JavaScriptおよびスタイルシートを使用しております。
お客さまがご使用のブラウザではスタイルが未適応のため、本来とは異なった表示になっておりますが、情報は問題なくご利用いただけます。

NEC NECソフト
ここからサイト内共通メニューです。
サイト内共通メニューを読み飛ばす。
サイト内共通メニューここまで。
ホーム > CSR(企業の社会的責任) > CSRレポート‘09 > お客さまのために
ここからページ共通メニューです。
ページ共通メニューを読み飛ばす。
関連情報
ページ共通メニューここまで。

CSR(企業の社会的責任)

ここから本文です。

お客さまのために

品質と安全を届けることがお客さまへの約束です

開発したソフトウェアやシステムを安心してお客さまにお使いいただくために、NECソフトでは万全の対策を取っています。

パッケージの脆弱性検査
外部からの攻撃、様々なセキュリティの脅威にも耐えられる安全性をすべてのソフトウェア製品に

NECソフトでは、ERPやWebメールをはじめ様々なパッケージソフトウェアを開発しています。これらの全製品に対して、セ キュリティに関する脆弱性の検査を社内の専門チームが実施し、製品の安全性を高めています。

外部からの攻撃、様々なセキュリティの脅威にも耐えられる安全性をすべてのソフトウェア製品に

Q.脆弱性検査とはどのようなものですか?

安西
セキュリティの高さは、ソフトウェア品質の一部であり、大変重要な要素です。安全面の脆弱性があると情報漏えいなどの事 故につながり、私たちだけでなく、ソフトウェアを使われたお客さまが社会的に責任を問われることになります。ですから、NE Cソフトではパッケージソフトウェアの脆弱性を徹底的に検査し、問題を排除してからお客さまに提供しています。
東山
SI案件の企業システムなどでは、導入される環境があらかじめ分かっていて、対応すべき脅威の絞り込みがしやすいのです が、製品として発売されるパッケージソフトウェアは、使われるお客さまも、使われ方も様々ですから、あらゆる可能性を考えて 検査をしなければなりません。プログラムの機能評価と違って、評価項目のピックアップが難いのが脆弱性検査の特徴です。型ど おりの検査では済ませられません。

Q.どんな方法で検査を行うのでしょうか?

安西
ペネトレーションテストとソースコード解析テストという2つの手法を主に使います。ペネトレーションテストでは、開発が 完了したソフトウェア製品に対して疑似攻撃をかけ、脆弱性があるかどうかを徹底的にチェックします。最新の攻撃パターンをも とに、専用ツールで再現した悪意ある操作を実際に行ってみるわけです。ソースコード解析テストは、開発者が作ったプログラム のソースコードを頭から検査ツールに読み込んで、脆弱性の原因となるコードがないかをチェックします。
東山
これら2つの検査方法には得意と不得意があります。例えば、ソースコード解析テストではコードの書き方の問題や関数の呼 び出し方とか細かいところまで一気にチェックが入りますが、設計レベルの問題や仕様の問題はペネトレーションテストでないと チェックできません。これらの特徴を踏まえ、2つの方法をうまく選んで脆弱性を見逃さないように検査を行います。

Q.お客さまへの責任をどう果たそうとしているのですか?

東山
2007年から製品やシステムの安全性を全社的に高められる仕組みを整えています。例えば、NECソフトでは以前から案件単 位、製品開発チーム単位でセキュリティのためのテストや改良が行われてきましたが、品質保証部のセキュリティテクノロジーセ ンター(STC)という組織で、一元的に脆弱性検査や対策を取るようになりました。ノウハウを集約し、高精度な検査で製品のセ キュリティレベルをモニタリングできるようになったのです。
2009年4月からはSTCがCSR推進部の中に位置づけられました。企業の社会的責任という観点から、セキュリティに取り組んでい たCSR推進部のチームと技術部門が一体となって、セキュリティ関連問題への対応と出荷製品の安全性確保に努めています。現在 は、「セキュリティの相談といえばCSR推進部へ」という流れができています。
安西
私は以前、SEとしてシステムの開発を手がけていました。そのころは、開発に携わるメンバー間でセキュリティをどう考える かが微妙に違っている、あるいは安全性を意識したプログラミングの定義やレベルが微妙に違っているのを感じていました。
誤った知識を持っていたり、セキュリティ対策が不十分であったりすると、結果として脆弱性が生じてしまいます。例え ば、Webアプリケーションでログインの前に発行したセッションIDを、を、ログイン後もそのまま使うプログラムは脆弱性を持っ ています。ログイン前のセッションIDを取得した攻撃者がそれを悪用すれば、正規ユーザのふりができてしまうのです。こうした 問題があることを知らなければ、脆弱性は増えるばかりです。私たちは検査の結果見えてきた脆弱性の原因を社内で共有するため に、情報発信や教育活動も積極的に行っています。社内からは「発見があった」「自覚が高まった」「知識を再確認できた」など 嬉しい評価をいただいています。

Q.今後どんな取り組みを進めようと考えていますか?

東山
インターネット検索で情報がすぐ入手できる昨今では、かつて一部の専門知識を持った人でなければできなかったような「不 正アクセス」や「システムへの攻撃」が、普通の人でもできてしまうのが実情です。これも一つの新しい脅威です。私たちは、プ ロとしてこういった脅威に対抗していかなければなりません。
安西
NECソフトでは、EXPLANNERシリーズといった企業向けERPソフトウェアのほか、Webメールソフトとして広く使われてい るWitchyMailなど、一般ユーザの方に日々ご利用いただくソフトウェアも多数開発しています。個人情報等の重要情報を扱うパッ ケージソフトもあるので、本当にヌケのない検査が必要です。今は、脆弱性検査から得た改善策をキャラバン形式で社内に伝えて いく取り組みを強化しています。
東山
脆弱性検査はシステムの安全性をチェックするだけでなく、開発チームが自らを評価し、スキルアップにつなげるべきだと考 えています。こうして当社製品の安全性のレベルを継続的に高めていかなければなりません。今後も、脆弱性検査ツールの適用拡 大と有効活用の促進を図り、セキュリティレベル維持向上の重要な施策として推進していきます。この活動は品質と生産性の向上 に寄与し、お客さまの満足度向上にも重要な要素となっていきます。
東山 栄一

CSR推進部 CSR・STCグループ
エキスパート
東山 栄一

安西 教明

CSR推進部 CSR・STCグループ
安西 教明

ページの先頭へ戻る

本文ここまで。
Copyright NEC Soft, Ltd. All rights reserved.