富士ソフトが脆弱性検査をルール化、セキュアなシステム開発をどう実現した？

　組み込み系や業務系のシステム開発をはじめ、国内外にビジネスを展開する独立系ICTソリューションベンダーの富士ソフト。グループで約1万人の技術者を抱える同社は、セキュリティの重要性が叫ばれるようになった頃から脆弱性対策に努めてきた。

　しかし、その1つとして推奨していたリリース前検査は、実施の要否やレベルが各プロジェクトに委ねられ、実施方法も外部委託と社内での内製に分かれており、セキュリティレベルのばらつきやコストなどが課題だった。そこで同社では、2017年のStrutsの脆弱性問題を機に脆弱性検査を義務化。日本語レポートとUIの分かりやすさ、誤検知の少なさなどが決め手になり、ある検査ツールを選定した。

　ツール導入決定から約2カ月で実運用に至った同社は、システムをスムーズに立ち上げた結果、適切なコストと技術で脆弱性検査を行えるようになり、システム開発の品質が向上。セキュア開発への意識も高まったという。本資料で、同社の取り組みを詳しく見ていこう。