東京海上日動システムズ株式会社様

ミレアグループの基幹系システムの大部分は、他の金融企業と同様にホスト系で構成されていますが、中核部分以外の業務に関しては、オープン系サーバーで稼働するシステムが増えています。特に2005年頃からはWebアプリケーションが活躍する場面が多くなってきました。ITサービス本部技術・基盤ソリューションサービス部 澤中氏は当時を振り返ります。

「ユーザーの利便性向上のため、代理店さん向けシステムなどフロント業務では Webアプリケーションを広く取り入れるように努めてきました。一方で世間では、Webサイトの脆弱性に起因する情報漏えいの問題などが取りざたされていました。それまでもセキュリティ対策は行ってはいましたが、開発者による属人的な対応だったのが実情です。もし運用フェーズでエラーが見つかった場合、修正するのに設計の見直しを行わねばならず、人手も手間もかかり、業務効率もよくありませんでした。さらにWeb化が進むことが予想されるなかで、Webアプリケーションセキュリティに本腰を入れて取り組む必要性が生じていました」

"我々が求める機能を網羅しつつ、価格的にもリーズナブル。また、協力ベンダー各社のほとんどがAppScanを使っていたことが決め手となりました。 — 澤中 克之 氏"

そこで同社では2005年半ば頃に組織を横断するプロジェクトを発足。Webアプリケーション開発におけるセキュリティツールの導入を検討しはじめました。同社が選定の基準にしたのは、機能、実績、操作性。このキーワードで様々なソフトウェアを検証した結果、選ばれたのはAppScanでした。

「AppScanには多くのテスト項目が用意されており、我々が求める機能を充分に網羅しつつ、価格的にもリーズナブルでした。また、当社の協力会社であるベンダー各社の多くがAppScanを使っていたことから充分な実績があると判断しました。操作性に関しては、数ヶ月間の評価期間にエンジニアが使って検証しました」（澤中氏）

その結果、2005年末にAppScanを導入。その後、数回の追加購入を実施。これまでに、全国に数十万台の端末を数える代理店オンラインシステムや、グループ各社のWebサイト上で商品・サービスを提供するシステムなど、100種類以上のWebアプリケーションがAppScanでのテストを経てリリースされました。

実際にAppScanを使うエンジニアである営推・代理店ソリューション本部営推・代理店ソリューションサービス部の割田氏は、その生産性を評価します。「AppScanによるテストは、通常2～3時間、大規模なシステムだと数日かかります。これを人手でやると考えると途方もない時間がかかります。従来なら、開発者が一つひとつテストパターンを想定し、Webアプリケーションに攻撃を与えて検証するといった作業を繰り返していましたが、AppScanのおかげで自動化できました。設定も慣れれば難しくありません。正確に計測したわけではありませんが、作業時間が圧倒的に短縮されたのは事実です」AppScanでは、10カテゴリ以上のテストを生成・実行します。テストアイテムは Webサイトから収集した情報に基づいて生成されるので、Webサイトの構造に適した、よりリアルなテストを実行することが可能。テスト実施者の業務効率を大幅に向上します。

レポート機能の充実もAppScanの特長の一つ。発見した問題に対して推奨される対策が提供され、レポートとして出力されます。この点に関しては墨岡氏が語ってくれました。

「スキャンして出てきた問題はレポートでチェックし、システムを修正します。次のシステムの開発時には注意してコーディングする ようになり、同じ間違いをすることが減りました」

同社では開発ルールとしてAppScanによるテストを義務づけ、割田氏と墨岡氏が中心となって他の開発メンバーをサポートしてきました。AppScanの利用浸透が、同時に開発スキルの全体的な底上げにつながったと言います。

「我々は多くのお客様の大切な情報を預かっています。システムのどこにも脆弱性があってはいけません。安全性の高いシステムを構築することが我々の使命であり、仕事のモチベーションです。AppScan導入はセキュリティ品質の向上と同時に、開発者の意識向上のきっかけにもなりました」（割田氏）

安全で品質の高いシステムを構築し、顧客の多様なニーズに応え続ける東京海上日動システムズ。同社の今後の動向に業界内外からも熱い注目が集まっています。