セッション「セキュリティ対策の徹底と開発負荷軽減の両立：NECにおけるセキュア開発の取り組み」で、日本電気（NEC）サイバーセキュリティ技術統括部実装技術レギュレーショングループ長の久保山拓氏は、同社が最近導入した脆弱性検出ソリューションの効果について語った。


　サイバー攻撃による被害が企業経営にインパクトを与えるほど大きくなった今、ソフトウェアから脆弱性をあらかじめ取り除いておくことは開発者にとって重大な責務となっている。久保山氏は「NECは20年前からセキュア開発に取り組んでおり、2022年にはサイバーセキュリティー管理規定を義務化した」と述べた上で、ソフトウェアを出荷する前にはプラットフォーム診断とWebアプリケーション診断を実施していると説明した。

　問題は、Webアプリケーション診断用ツールの使い方が難しく、診断に時間がかかることだった。診断する前にテストシナリオを別途作成する必要があり、通常のテストとは別個に実施しなければならなかったのである。

　そこで同社は、より効率的に診断できて開発者への負荷も小さくできるWebアプリケーション診断ツールの導入に向けた検討を22年度に開始。机上評価に1年、PoC（仮導入）に1年をかけた上で、「Contrast Assess」の採用を決定し、23年度末から開発現場で使い始めた。

　採用を決めたおもな理由として、久保山氏は「主要な開発環境とプログラミング言語に対応」「使い方が容易」「診断にかかる工数を削減可能」などを挙げる。「PoCでは、診断工数が従来比で平均44％減ることが分かった。PoC後の調査に、利用者の8割は『有意義なツールだ』と回答している」と久保山氏。結合テストから総合テストで99％の脆弱性を検出できる、つまり出荷したソフトウェアに潜む脆弱性を1％にまで減らせることも、採用の決め手になったという。

　24年度以降も、同社における出荷前のWebアプリケーション診断は従来ツールとContrast Assessを併用して行われている。両者の使用割合は、Contrast Assessが約40％。「効果測定用のアンケート調査に、Contrast Assess利用者の約96％は『満足している』と回答。テストシナリオ作成の必要がなく、脆弱性を指摘された箇所を容易に修正できることが高く評価されている」と久保山氏は話す。

　ソフトウェア開発現場の負荷軽減に向けて、NECはこれからもさまざまな取り組みを続けていく。すでに実施済みの「ガバナンス」（サイバーセキュリティー管理規定の整備）と「ツール活用」（Contrast Assess活用）に続き、今後は「セキュリティー実装状況のモニタリングと実装の設計支援」も進めていく、と久保山氏は展望を語った。