Strutsマイグレーションとマルチブラウザ対応を同時に実現

Apache Struts（以下、Struts）は、Webアプリケーション開発のフレームワークとして多くのシステムの構築に利用されましたが、今ではStruts1/Struts2ともに重大な脆弱性が指摘されています。セキュリティリスク回避のため、Strutsからの脱却を検討する企業が増えている一方、「リプレースの予算が確保できない」「ブラックボックス化したアプリケーションを保守できる人材がいない」と、利用を継続している企業も少なくありません。本コラムでは、Strutsマイグレーションサービスを活用して、EDI取引用システムの脆弱性を解消したシーイーシー総務部の取り組みを紹介します。

導入から10年以上のEDI取引用システム。脆弱性診断でStruts1のリスクに指摘

1968年に創業し、従業員数2,260名（2021年4月1日現在）のシーイーシー。総務部は3つの部門に分かれており、その1つが購買部門です。

2008年、総務部では購買部門の業務効率化に向けて、それまで紙で行っていたパートナー企業とのやり取りを電子化する「EDI取引用システム」を導入。Internet Explorer経由で、契約にともなう各種データを送受信できる仕組みで、パートナー企業の約6割に利用されていました。

リリースから10年以上が経過し、リプレースに向けて予算化を進めていたところ、脆弱性診断でStruts1の脆弱性を指摘されたといいます。
この脆弱性診断を契機に、以下の課題が浮き彫りになりました。

(1)サポート切れのStruts1の脆弱性

EDI取引用システムは、2013年にサポートが終了したStruts1で構築されていました。今後、新たな脆弱性が見つかってもパッチや修正版が提供されず、万が一外部から侵入された場合には情報漏えいやシステムの改ざんが発生するリスクがあります。

(2)システム改修にともなうパートナー企業の負担

リプレースや改修によって、システムの操作や画面表示が変更されると、EDI取引用システムを利用するパートナー企業の負担が増えることになります。

(3)パートナー企業の利用率向上

総務部では、EDI取引用システムの利用率を引き上げて業務効率化を図りたいと考えていましたが、対応ブラウザーがInternet Explorerに限られることもあり、4割のパートナー企業では利用されていませんでした。

使い勝手はそのまま、最新フレームワークにマイグレーション。
マルチブラウザーにも対応

総務部では、社内の有識者とともに対応を検討。根本的な脆弱性対策を早急に実施することになりました。「新たなセキュリティ対策製品の導入」「既存システムのリプレース」など、複数の案が出ましたが、いずれも決め手に欠けたといいます。

そうした中、社内経由で提案されたのが、シーイーシーのマイグレーションサービス「Re@nove（リノーブ）」でした。Re@noveのStrutsマイグレーションは、Struts1/Struts2で構築された業務システムを、最新のSpring MVCフレームワークに移行するサービスです。ロジックや使い勝手、画面表示を変更することなく、脆弱性のみを解消できます。単にフレームワークをマイグレーションするだけでなく、データベースのバージョンアップやマルチブラウザー対応など、さまざまな要望にも柔軟に対応可能です。

Re@noveのStrutsマイグレーションを採用する決め手になったのは、「コストと納期への納得感」「使い勝手や画面を変えずに移行できること」そして「マルチブラウザー対応」でした。さまざまなブラウザーからデータの送受信が可能になるため、パートナー企業の利用を促進し、さらなる業務効率化につなげられます。

プロジェクトは2020年9月からスタートし、約6カ月間で実行されました。

シーイーシー総務部と社内の有識者による「脆弱性対策の選択と決断」はどのように進められたのでしょうか？「詳しい経緯」「担当者の生の声」「今後の期待と展開」など、リンク先の記事で詳しくお読みいただけます。
ぜひご一読ください。

関連サービス情報