Security&Trust
第3回 読者調査結果発表
〜Webアプリケーションのセキュリティ〜
小柴 豊
@IT マーケティングサービス担当
2002/4/24
ビジネスやコミュニケーションの手段としてインターネットの活用が進むにつれ、ユーザー登録や掲示板、ショッピングなどの動的機能を実装するWebサイトが増えている。これらの機能を提供するWebアプリケーションは、サイトと訪問者の双方向な関係作りを促進する反面、「個人情報の漏えい」「なりすまし」といったセキュリティ上のリスクも産み出している。
ではこうした“Webアプリケーションのセキュリティ問題”について、サイト構築/運用に関わる技術者はどのような認識をもち、対応しているのだろうか? Security&Trustフォーラムが実施した第3回読者調査の結果から、その現状と課題を報告しよう。
■約4割がWebアプリケーションへの攻撃を経験
まずはWebアプリケーションへの攻撃実態から見てみよう。読者の関わるWebサイトについて、バッファオーバーフローなどによる攻撃経験を聞いた結果が図1だ。「実際に情報漏えいなどの被害を受けたことがある」ケースは3%にとどまったものの、「経験はあるが被害には至っていない」を合わせると、全体の約4割が攻撃を経験していることが分かった。ただし「攻撃を受けたかどうかわからない」との回答も2割を超えており、無意識のうちに攻撃されているサイトも相当数に上るのではないかと思われる。
 |
| 図1 Webアプリケーションへの攻撃経験(N=263) |
■Webアプリのセキュリティ レベルは、開発者ごとに異なる?
Webアプリケーションへの攻撃は上記のように広がっているが、そもそもこうした攻撃はアプリケーションの脆弱性を狙っているため、開発時にチェックを怠らなければ大きな被害は予防できる。そこで読者の関わるWebサイトにおけるアプリケーション開発時のチェック体制をたずねたところ、「セキュリティ基準が明確にあり、リリース前に必ずチェックしている」割合は、全体の2割弱にとどまった(図2)。逆に「セキュリティ基準は特になく、開発者個人の能力に依存している」との回答が最大となっており、アプリケーションセキュリティのレベルが標準化されていない現状が明らかになった。
 |
| 図2 Webアプリケーション開発時のセキュリティチェック基準の有無 (N=263) |
■安全なサーバ上の無防備なアプリケーション?
ではWebサイトのセキュリティ対策について、具体的に何が実行され/何が実行されずにいるのだろうか?読者の関わるサイトでの対策状況を聞いた結果、
- サーバをデフォルトのまま使わず、不要なサービス/機能は削除している
- 使用しているWWWサーバやOSのパッチは常に最新のものを適用している
といったサーバレベルのセキュリティについては、比較的対策が進んでいることが分かった(図3)。
 |
| 図3 Webアプリケーションのセキュリティ対策実施状況(複数回答 N=263) |
しかし一方で
- 認証やセッション管理で、Cookie/URLパラメータ/hiddenフィールドを利用する際の漏えい/改ざん対策を施している
- 掲示板などの入力フォームでは、スクリプトやコマンドが実行できないようにフィルタリングしている
の実施率はそれぞれ3割未満であり、クロスサイト・スクリプティングなどアプリケーションレベルの攻撃には無防備なWebサイトが多数存在しているようだ。
■発注者/ユーザー側にも意識改革を
ではWebアプリケーションのセキュリティ対策が進んでいないのはなぜだろうか? 対策実施上の課題を聞いた結果、「アプリケーションのセキュリティをチェックできる人材/ノウハウが少ない」との回答が約6割でトップに挙げられた(図4)。Webアプリケーションという分野が日々進化/変化しているだけに、セキュリティ面の知識整備が追いついていない状況のようだ。
また開発者側の問題に加えて、「アプリケーション発注者(ユーザー部門)のセキュリティ意識が希薄」のポイントが高い点も注目される。情報漏えいなどで最終的に痛い目にあうのは事業主体である発注者側であり、問題が起きた時点で「知りませんでした」ではすまされない。開発側のチェック体制が万全といえない現状を考えれば、ユーザーサイドでセキュリティ意識を持つことの重要性はさらに強調されるべきだろう。
 |
| 図4 Webアプリケーション脆弱性対策の課題 (3つまでの複数回答 N=263) |
■Webアプリのセキュリティ対策で重要なもの:まずは情報を!
最後に、今後Webアプリケーションのセキュリティ対策を行ううえで、読者が何を重視しているか紹介しておこう。6つの選択肢から3つまで選んでもらったところ、全体のおよそ7割が「脆弱性や攻撃、対策についての具体的な解説/技術情報提供」および「アプリケーションセキュリティの概要や必要性を啓蒙する情報提供」の2点を挙げている(図5)。図4で見たとおり現在は技術者側にもノウハウが溜まっていないだけに、まずは情報収集の必要性が高まっているようだ。当フォーラムでも今後こうした情報提供を進めて行く予定だが、現在まさに必要に迫られている場合は、本文末の「関連記事&リンク」をチェックしてみてほしい。
 |
| 図5 Webアプリケーションのセキュリティ対策で重要な点(3つまでの複数回答 N=263) |
■調査概要
- 調査方法:Security & Trust サイトからリンクした Webアンケート
- 調査期間:2002年3月4日〜3月31日
- 回答数:263件
| 関連記事&リンク |
| 特集 SSLでセキュアなECサイト構築(Security&Trust) |
| セキュアなWebサーバーの構築と運用に関するコンテンツ (IPA) |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
