本記事は、
つい先日第2版が出版された、通称「徳丸本」こと「体系的に学ぶ安全なWebアプリケーションの作り方」の著者 徳丸浩先生を基調講演にお招きし、
弊社スタイルズ、EGセキュアソリューションズ、SCSKが登壇した『サポート切れJavaフレームワークの WEBセキュリティ対策事例セミナー』(2018/6/27)のイベントレポートです。
業務システムやインターネットを活用している企業にとって、つまりほとんどの企業にとって、避けては通れないソフトウェアのサポート終了問題。
本セミナーでは、Webシステムのセキュリティ対策の理想と現実を、
・多くの企業のセキュリティコンサルティングをしてきたEGセキュアソリューションズ、
・顧客のアプリケーション保守を長期的に担っているSCSK、
・サポート終了したJavaフレームワークやOSSの移行ツールを開発・提供しているスタイルズ
の3社から、
事例を交え、セキュリティ上考えなくてはいけない王道パターンと現実的な解決の手段や対策方法を講演しました。
▼当日の会場の様子
以下は今回のセミナーの概要。
そもそもサポート切れとは?
サポート切れ(サポート終了)するとセキュリティの脆弱性が発生しても、
脆弱性に対処するためのパッチが提供されないことを意味するソフトウェアには、購入者に対する「約束」となる
サポートライフサイクルポリシーがある。
システムのライフサイクルを考える
情報セキュリティの教科書としては、
システムを開発・構築する企画のタイミングで、
- ソフトウェアのサポート終了を見据えて、 どのような対策をとるかを考えておく必要がある。
特に注意しなくてはいけない脆弱性とは?
Windows XP のサポート終了が報道されたときに結構な騒動となったが、
Windows XPは、基本的にファイアーウォールの中にいるため、悪意の攻撃者が能動的な行動はとりづらいインターネットに出ているJavaフレームワークは、
ファイアーウォールの外側にいるため、インターネットを経由して、
悪意の攻撃者が能動的な行動をしやすい。
現実的な脆弱性の解としては、
- 後継ソフトウェアにマイグレーション
- サイトを閉じる
が教科書的に求められているとのことでした。
Javaフレームワークのサポート切れを使うということは特に難易度が高い
サポート終了したソフトウェアは、
セキュリティパッチも更新されないため、
使い続けるという選択肢はない。
しかしながら、現実問題として、
サポート終了ソフトウェア、特にJavaフレームワークのような開発の現場で採用されたフレームワークのサポート終了に対して、
- 費用・効果・他の対応策の検討などから、 迅速に対応ができないことが多々ある。
けれど、サポート終了のJavaフレームワークを続けるには、
相当な運用コストがかかる。
なぜなら
- 脆弱性情報に目を光らせなくちゃいけない
- クリティカルな対応が求められてくる
- そのため、運用コストがかかる
最後に
セミナー主催者としての感想を最後に。。
今回のセミナーでは、
予めセミナーお申込者から寄せられた「ご質問」を登壇者の方にディスカッション(インタビュー)形式でご質問をさせていただくコーナーを
スタイルズ主催セミナーとしては初めて試ませていただきました。
インタビューアーとして、うまいインタビューではなかったところは反省しつつも、
最後には、追加の質問を会場でも多くいただき、
今まで企画してきたビジネスセミナーの中でも、
登壇者とご来場者のコミュニケーションを活発にすることができたセミナーとなりました!
ご来場いただいた皆様、優しく見守ってくださり、本当にありがとうございます。
追加のご質問やスタイルズのセミナー資料については、
スタイルズコーポレートサイトのお問い合わせフォームからその旨ご連絡、ご請求をお待ちしております!