“セキュアなWebアプリ”に立ちはだかる課題:セキュリティ、そろそろ本音で語らないか(4)(3/3 ページ)
SQLインジェクションによる情報漏えい事件がクローズアップされています。対策は簡単なこと……と言われ続けているのですが、なぜWebアプリケーションの脆弱性は無くならないのでしょうか。第4回ではその理由に迫ります(編集部)
ログ取得の意味
日本人は「防ぐこと」にお金を使いがちですが、ネットワークセキュリティにおいては完全に防ぐことは困難な場合が多く、不幸にして被害に遭ってしまうことがあります。そのような被害があった場合に、重要な役割を果たすものがログなのです。
しかし、一言でログといってもその取得方法でまったく役に立たない場合もあれば有効な場合もあります。特に脆弱性を突いたハッキング攻撃においては、アプリケーション層レベルでログを取っても何の痕跡もないことがあります。
原因究明や攻撃の有無を認識するには、攻撃である入力の生のパケットのログが最も有効なログとなります。これはサーバ自身でとるのもいいですが、現在ではネットワークに流れるパケットをレコーディングする装置の性能も上がってきたので、そのような装置を使うのも現実的なソリューションになってきています。サーバにおけるログ取得によるパフォーマンスの低下やリソースの消費にも効果があるでしょう。
また、どれだけ被害があったかという観点では、前述のパケットログは当然ですが、ファイルへのアクセス記録やデータベースでの監査ログも重要な役割を果たします。SQLインジェクションなどの攻撃に対しては、この監査ログがなければ被害の特定ができません。またデータベースの監査ログがあればシステムとして不自然なSQL要求を検知することも可能になります。
このようなログの取得の仕組みは、ネットワークでのパケット取得以外は、設計時点で作り込んだり組み込んだりする必要がありますが、残念ながら多くの場合、セキュアプログラミングもままならない状況においては、ログまで手が回っていないシステムが多いのは残念なことです。
アプリケーションで抽出すべきログは開発時点で組み込まれていないと、後で組み込むのは難しいことから、「安全に作る」に加えて「安全に運用する」ということも考慮したシステムを開発してもらいたいと思いますし、発注者も「調達仕様書」のセキュリティ要件にログについての記述を必要に応じたレベルで書き込んでいただきたいと思います。
三輪 信雄(みわ のぶお)
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。
そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。
また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。
上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。
Copyright © ITmedia, Inc. All Rights Reserved.