ラック西本氏が教えるWebサイトセキュリティ3つのポイント

2005/8/5

 SQLインジェクションによる顧客情報の漏えい事件などを受けて、Webアプリケーションファイアウォールへの注目が高まっている。7月29日にF5ネットワークスが開催したセミナーでは、ラックの西本逸郎氏が「ネットビジネスを死守せよ!〜SQLインジェクションとDoS〜」という講演を行い、ネットビジネスにおけるリスクや対策の難しさを語った。F5ネットワークスでは、Webアプリケーションファイアウォール製品「TrafficShield」の日本語文字コード対応版を7月4日に発表した。

 2005年4月の「個人情報の保護に関する法律」(個人情報保護法)の全面施行を受けて、多くの企業で情報漏えい対策が進められている。さまざまな調査データが「情報漏えいの8割は内部から」と指摘していることから、内部規定や端末管理、プライバシーマークの取得という内部の引き締めは着々と進んでいるようだ。

株式会社ラックの西本逸郎 取締役 執行役員 SNS事業本部長
 この状況に対して西本氏は危機感を表した。「内部犯が強調された結果、外部からの攻撃に対する対策がおろそかになっている。外部から攻撃を受けた場合は、基本的にサイトの停止が併発するためネットビジネスが継続できなくなる」。月末や決算前など、攻撃を受けるタイミングによっては、「会社そのものの存続にかかわる致命的なダメージを負うこともあり得る」という。

 攻撃者の気質の変化もある。かつての自己顕示的な愉快犯から、嫌がらせや金銭目的の犯行へとシフトしつつある。ネットビジネスへの依存性が高い上場企業の場合、Webサイトを攻撃によって任意のタイミングで止められるという事実は、“インサイダー情報”にもなり得る。西本氏は「ネットが良くも悪くも真剣なビジネスな場となった以上、犯罪も同様に真剣勝負になった。本気で対策をしておかないと、刈り取られるのは当然」と語る。

 西本氏はネットビジネスのセキュリティリスクを「簿外債務」と理解すべきだと語る。簿外債務として適切な対応をしておけば、すべてを完済する必要はない。「経営者は“簿外債務”が存在していることを把握すべきだ。まったく対策をしていないと、事件が発生した瞬間に“債務超過”となってしまう」と警告する。

 しかしながら、セキュリティに関する費用対効果は測定が難しく、対策は後手に周りがちだ。そして、いつ対策をすればいいのかという問題もある。

 例えば、ビジネスを立ち上げるときは、ネットビジネスそのものが模索の段階にありプロトタイプ的だ。西本氏は「立ち上がり時から万全な対策は不可能。しかし、最低限の対策を実施しておかなければ、問題が起こった場合の致命傷となる」という。

 ビジネスが立ち上がって、いよいよ本格化する段階には、ビジネスの規模や拡張性、パフォーマンスの観点に加えてセキュリティの見直しも実施したいところだ。しかし、実際にはビジネスが走り出した段階で事業を止め、セキュリティを再構築する余裕はない。

 この結果、セキュリティは“適宜対応”する形となり、つぎはぎだらけになってしまう。Webアプリケーションの場合、Webサイトの開設者が作成したプログラムの欠陥を悪用されるので、OSやハードウェアのベンダを頼みにすることはできない。西本氏は「1社でもたくさんのWebアプリケーションが走っているし、低品質の開発ベンダが目白押しだ。外注先を変更しているかもしれないし、自社開発だとしてもプログラマが退職しているなど事後対応的なメンテナンスは難しい」と指摘する。

 昨今話題のSQLインジェクションなどの「Webアプリケーションの脆弱性」を突く攻撃は、決して新しい攻撃方法ではなく、古くから専門家は問題を指摘していた。西本氏はいますぐにでも対策しなくてはいけない問題として、インジェクション系の攻撃に加えてエラーハンドリングの不備を指摘する。「IISとSQL Serverを利用している場合、デフォルトで運用していると攻撃者に対して手掛かりとなるエラーメッセージを表示してしまう」というのだ。

 西本氏は公開されているWebサイトについて、即時に実施すべきチェック項目として(1)Webサーバのログ設定の確認(POSTになっているからといって安心してはいけない。確実にログを把握できるかチェックすべき)、(2)エラーメッセージ出力の状況確認、(3)DBアカウント権限の状況確認の3つを挙げた。そして、何らかの不安を感じたら、運用しているWebアプリケーションを鳥瞰(ちょうかん)してみること、不正アクセスの痕跡がないかをログから確認することを推奨する。ここで重要なのは、早めにセキュリティの専門家にバトンを渡すということだ。

 当然、修正プログラムやパッチの適用、適切な設定、パスワード管理の徹底などは継続して実施されるべきだが、「いまこそ、本物のファイアウォールが必要となった」という。西本氏が考える“本来あるべきファイアウォール”とは、DoS対策製品(0段目)、従来のファイアウォール(1段目)、IDSやIPS(2段目)、Webアプリケーションファイアウォール(3段目)、不正コンテンツフィルタ(4段目)、有人監視(5段目)、保険(6段目)という多層化されたシステムだ。

 特にWebアプリケーションファイアウォールの導入は重要だ。「多くのプログラマは納期やコストを優先した開発を行う。セキュリティについては小手先の対応、つぎはぎだらけのアプリケーションとなっている」と警告し、「インフラの上に乗るアプリケーションに多少の問題があっても致命傷にならないようなシステムが求められる。アプリケーションレイヤにはバグやミスはあるものだと想定することが、管理ができているということ」と語った。

(@IT 岡田大助)

[関連リンク]
F5プレスリリース

[関連記事]
「速くて安全なネットワーク」実現のヒント (ITmedia)
カカクコムがサイト再開、依然残る多くの疑問 (@ITNews)
30万円、最短1営業日で結果を出すWebサイトセキュリティ診断 (@ITNews)
価格.comが不正侵入で閉鎖、高度技術の組織犯に狙われる (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)