日々増大するWebページの品質問題、アクセシビリティ、セキュリティリスクを検証する | 日本IBM
この記事では、2011年5月31日に開催されたセミナーイベント「Web担当者Forumミーティング 2011 Spring」の講演をレポートする。他のレポートをご覧になりたい方はこちら。
日々増大するWebページの品質問題
アクセシビリティ、セキュリティリスクを検証する
(Flash)
(ボックスが広がって
再生が始まります)
企業のWebサイトは規模が大きくなればなるほど、「リスク」を適正に管理するのが難しくなる。Webサイトの「リスク」とは何か、どうすれば効率的にそのリスクをマネジメントできるのか。B会場最後のセッション「日々増大するWebページの品質問題、アクセシビリティ、セキュリティー・リスクを検証する」で、日本IBM ソフトウェア事業ラショナル事業部の雨宮吉秀氏が解説した。
主要企業サイトの14.5%に脆弱性が発見
今や企業のビジネス活動に欠かせない存在となったWebサイトだが、様々なリスクを抱えている。日本IBM ラショナル事業部の雨宮氏は、大規模な企業サイトに潜むリスクとその対処法をメインに講演を行った。講演で雨宮氏がWebサイトの代表的なリスクとして取り上げたのは、次の3点だ。
1つ目は、Webサイトの品質に関するリスクだ。リンク切れやタイトル、meta descriptionの表記漏れなどにより、ユーザーが情報を入手できなかったり、検索にかからなくなっている状態だ。このような品質問題は、機会損失や顧客満足度の低下につながる。
雨宮氏によれば、「一番シンプルでやっかいな問題がリンク切れ」だという。たとえば外部サイトの更新によるリンク切れはWeb担当者ではコントロールできない。リンク先のURL更新などに対し、適宜対応していかないと、リンク切れが増え続けていってしまう。また「ページ内のアンカー切れ」「JavaScriptオフの状態でのリンク切れ」「スタイルシートの画像へのリンク切れ」もチェックしづらい問題として指摘された。ローカルのテスト環境で検証作業を行っていると、「ローカルファイルへのミスリンク」に気づかないこともあるという。
2つ目のリスクは、Webアクセシビリティの問題だ。アクセシビリティの規格には、国際基準のWCAG2.0と、米国基準のSection 508、そして日本基準のJIS X 8341-3:2010がある。JIS規格に対応することで、国際標準にも対応できるという。アクセシビリティ対応が不十分だと、米国などで訴訟問題に発展する恐れがある、と雨宮氏はリスクの高さを説明した。
最低限やっておくべきことは、画像をはじめとする非テキストコンテンツに代替テキストを付ける作業だ。音声や動画だけのコンテンツにはテキストベースの代替コンテンツを用意し、動画には字幕を付けるのが望ましい。こうすることで検索エンジン対策にもなり、無音で動画を見たいユーザーのニーズも応えられると、雨宮氏は強調した。基本的な対応策の1つではあるが、マルチメディアコンテンツが普及する現在においては必須の作業といえる。
そして3つ目のリスクがセキュリティだ。個人情報の送信ページがSSL非対応だったり、クライアントサイドのJavaScriptの脆弱性の問題が、代表的なセキュリティ・リスクとして取り上げられた。IBMでは同社の解析ツール「JavaScript Security Analyzer」を用いてフォーチューン500社の企業サイトおよび175の世界主要サイトを調査。その結果14.5%のサイトに脆弱性のあるJavaScriptが発見され、そのうちの38%はサードパーティー製のJavaScriptに起因するものだったという。
数千、数万ページのサイトでも問題点を見逃さないために
こうしたWebサイトのリスクに、効果的に対処できるツールとして、雨宮氏から「IBM Rational Policy Tester」と「IBM Rational AppScan Standard Edition」が紹介された。Policy Testerは膨大なWebサイトに潜むさまざまな問題点を、自動で検査するツールだ。会員ページなどログイン後のページ検査にも対応し、JavaScriptの実行やFlashの再生も行いURLを自動認識する。技術的な知識がなくても、品質やアクセシビリティ、セキュリティのリスクを容易に洗い出すことが可能だ。言語は日本語・英語など8か国語に対応しており、管理者ごとの権限設定や、検査結果をExcelやPDFに出力する機能も備わっている。
導入事例として大手金融グループや精密機器メーカーがWebサイトの品質改善やリンク切れなどのエラー低減に取り組み、短期間で効果を上げたケースを紹介。日本IBMでもプライバシーポリシーの遵守や、アクセシビリティ向上のために用いている。
もう一方のAppScanは、市場シェアトップのWebアプリケーション・セキュリティ・テストツール。問題のあるJavaScriptコードをピンポイントで指摘し、マルウェアのスキャンも行う。セキュリティリスクを段階別に掲示し、脆弱性の指摘だけではなく、修正方法の提示やレポートの作成も行う。
雨宮氏によれば、IBM Rational Policy TesterおよびAppScanの導入メリットは、(1)サイトの検証にかかるコストの削減、(2)企業のブランドイメージ向上と販売機会の最大化、(3)内部監査/統制の実施の3点。日本IBMでは、手軽に受けられるワンタイムの検査サービスも提供し、Webサイトが抱える品質問題やセキュリティリスクなどを解決しているという。
※講演内容の詳細をご覧になりたい方は、記事冒頭の動画をご利用ください。
ソーシャルもやってます!