開発からセキュリティを切り分け　DMM.comラボの独自フローを詳説

要約

　レンタル、通販、動画配信、証券やゲームなど多様な事業を展開するDMM.comグループ。なかでもDMM.comラボは、同グループが展開するサービスのシステム開発、運営、ネットワークインフラの提供、Webマーケティングなどを一手に担っている。

　同社のセキュリュティ意識は高く、PCI DSS（＝クレジットカード情報および取引情報の保護基準）の取得やDMM.CSIRTの構築をはじめ、近年では開発部門からセキュリュティ部門を独立させることによる、第三者視点でのセキュリティ対策体制の構築に注力してきた。

　その取り組みに役立ったのが、新しく導入したWebアプリケーション脆弱（ぜいじゃく）性検査ツールだった。操作がシンプルで詳細な項目設定が可能な同ツールは、1カ月程度かかるような大規模開発への五月雨式の診断にも対応できる。同社は、このツールの利用フローを独自で策定し、開発部門との問題意識共有に活用。診断後の是正対応にも気を配り、開発部門、セキュリティ部門、検査ツールの相互理解を深め、Webアプリケーションの迅速な開発と、高いセキュリティレベルを両立させた。ツール導入後の具体的な実装段階について、大変参考になる事例だった。