 |
Security&Trust トレンド解説
Webアプリケーションのセキュリティを
後回しにするな
岡田大助
2005/8/19
個人情報の保護に関する法律(個人情報保護法)が全面施行されてから4カ月が経過したが、依然として情報漏えい事故/事件は続発している。むしろ、法律が施行されたことによって情報漏えいに関するニュースが以前よりも目に入るのかもしれないが、企業はそれなりに個人情報保護法対策を施しているはずだ。
2005年5月から6月にかけて、Webアプリケーションの脆弱性を突かれた情報漏えい事件がメディアでさかんに取り上げられた。世間一般のイメージに比べて、外部からの犯行による情報漏えいというのは実際のところ少数派だ。それ故、Webアプリケーションのセキュリティ対策は後手に回っていたのかもしれない。
 |
数字のうえでは5件に1件は外部犯による情報漏えい |
「情報漏えいの原因の8割は内部から」というフレーズは非常によく使われている。コンピュータ・アソシエイツがまとめたところによれば、2004年の個人情報漏えい事故は366件、1件当たりの平均被害者数は3万1057人、想定損害賠償額は4666億円にも達した。このうち、100万件以上の個人情報が漏えいした事件は2件あり、どちらも原因は内部からの漏えいだったという。
そこで企業は、アクセスコントロールやポリシー管理といった内部セキュリティの充実に力を入れてきた。しかし、残りの2割、あえて強引にいえば5件に1件の割合で発生する外部犯による情報漏えい対策がおろそかになっていなかっただろうか?
外部からの攻撃に対して、ほとんどの企業がファイアウォールを設置し、クライアントPCレベルでのウイルス対策ソフトを導入している。しかし、穴はまだ残っていた。Webアプリケーションに、である。
ラックの西本逸郎氏がF5ネットワークス主催のセミナーで面白い例え話をしていた。「悪意を持つものは、攻撃対象となる家の玄関と勝手口に鍵が掛かっていなければ玄関から入ってくる。最近ではどこも玄関(=ファイアウォール)の戸締まりをしっかりしているので、勝手口(=Webアプリケーション)が狙われる」
Webアプリケーションの穴をふさぐには、そもそもプログラミングの段階で穴のないWebアプリケーションを作ればいい。いわゆるセキュアプログラミングという概念だ。セキュアプログラミングは理想であり王道であるのだが、実際には穴の開いたWebアプリケーションがたくさん存在している。
ラックが2005年5月24日に発表した「ホームページからの情報漏洩に対する脅威の現状」というレポートによれば、2004年に調査した大手企業122社のほとんどすべてのWebサイトにおいて何らかの脆弱性が存在しているという。そのうち、クロスサイトスクリプティングが67%、セッション管理不備が61%、インジェクション系が37%と情報漏えいにつながる穴が開いている。
また、三井物産セキュアディレクションが2005年6月3日に出した調査レポートでは、BtoC、BtoBなどのメンバー制サイトの約9割で情報漏えいやWebページ改ざんなどを含む問題を抱えているとしている。
そこでWebアプリケーションファイアウォール(WAF)が登場した。これは、セキュアプログラミングの限界に対するインフラ側からのソリューションと位置付けられて注目され始めている。だが本当にセキュアプログラミングは限界なのだろうか。
|
セキュアプログラミングは本当に限界なのか |
セキュアプログラミングについては、IPA/ISECの「セキュア・プログラミング講座」が詳しいのでぜひ参考にしてほしい。あらかじめ言及しておくが、限界といってもセキュアプログラミングそのものが欠点を抱えているのではない。現状ではセキュアプログラミングの知識を備えた開発者が少ないというのが問題なのだ。
Webアプリケーションの開発は、プロジェクトという形で複数の開発者の共同作業となるため、個々の開発者のセキュリティに関する能力(もしくは意識)に依存することになる。開発者は納期までの限られた日数の中で、必要な機能とパフォーマンスの向上を実現しなくてはならない。このため、Webアプリケーションがセキュリティ対策を施さなくても動作するのであれば、セキュリティが後回しにされてしまうこともある。
また、Webアプリケーションの開発者と運用者が同じであることは少ない。運用者が提出した提案依頼書(RFP)に従って要件の洗い出しや仕様書の作成を行う。Webアプリケーションの脆弱性を突いた攻撃が注目を浴びた今日において、RFPにセキュリティに関する項目がないというのは少なくなったと思うが、どこまで厳密に定義されているかはあやふやだという。
NTTデータビジネスソリューション事業本部セキュリティサービスユニットの武井洋介氏は、「RFPでセキュリティ対策を要求された場合、要件の洗い出し、実装のための設計、実装、テストと開発工数やコストは増えます。また、対策として何を、どこまでやればいいのかという基準もないので、発注者と開発者の描く性能に差が生じることも多いと聞きます」と現場の声を語る。
そこで、ソフトウェア側の問題をインフラ(ハードウェア)側で解決しようとするWAFが登場したのだが、WAFだけですべてが解決されるというものでもない。そもそもWAF自体が高価であるというのもさることながら(個人情報が漏えいした場合の損害額を考えれば、それこそ金子の多寡ではないのだが)、WAFを管理運用することによって生じるコストも念頭に置かなくてはならない。
武井氏は、「WAFを導入した場合でも、Webアプリケーションごとにネットワーク管理者と協力してチューニングすることが必要となりメンテナンスという運用負荷が生じます。Webアプリケーションの運用者がWebサイトの構成を把握しきれていないこともありますし、パラメータ(シグネチャ)が増加すればWAFそのものの性能も落ちてしまいます」という。
このような運用者、開発者双方の不満を解決すべく「Webアプリケーションの脆弱性は、本来、開発段階で潰しておくべき」というスタンスから生まれたのがNTTデータの「SecureBlocker」だ。
1/2 |
|
| Index | |
| Webアプリケーションのセキュリティを後回しにするな | |
 |
Page1 数字のうえでは5件に1件は外部犯による情報漏えい セキュアプログラミングは本当に限界なのか |
| Page2 Webアプリケーションの脆弱性対策機能をパッケージに |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
