セキュアなプログラミングが必要とSANS
「ほかの誰のせいにもできない」Webアプリの脆弱性
2008/07/01
「これまでは脆弱性が発見されても、ベンダのせいにしていればよかった。しかし、今攻撃のターゲットになっているソフトウェアを書いているのは自社自身。ほかの誰のせいにもできない」――米国のセキュリティ組織、SANS Instituteの代表兼調査部門ディレクターを務めるアラン・パーラー氏は、7月1日に開催した記者説明会の席でこのように説明した。
SANSは7月1日、2日にわたって、情報セキュリティをテーマとしたイベント「SANS Future Visions 2008 Tokyo」を開催している。このイベントに合わせて来日したパーラー氏は、OSやネットワークに代わり、アプリケーション、それも独自に開発されたアプリケーションが攻撃者のターゲットになっていることを改めて指摘し、注意を呼び掛けた。
SANSが世界中に設置したセンサーを通じて収集した調査によると、攻撃のターゲットになっているソフトウェアとしては「アンチウイルス、バックアップ、そしてWebアプリケーションの3つが圧倒的」(同氏)だという。中でも、昨年以降特に狙われているのが、企業が独自に開発し、作り込んだWebアプリケーションだ。
2008年5月には、150万以上ものWebサイトが攻撃を受け、データを盗み取るだけでなく、アクセスしてきたユーザーをキーロガーなどに感染させるコードを埋め込まれた。このとき使われた攻撃手法は、国内でも多数のサイトに影響を及ぼしたSQLインジェクションだ。
パーラー氏によると、この問題には2つの対処が必要だ。1つは、すでに実装済みのWebアプリケーションに存在する脆弱性を修正すること。もう1つは、現在進行形で開発中のアプリケーションに欠陥を埋め込まないようにすることだ。
ソフトウェアの脆弱性をチェックする手法としては、外部からのスキャンによるブラックボックステスト、ソースコードを解析するホワイトボックステストがある。しかし、ことWebアプリケーションに関しては、両方を組み合わせてもなお検出が困難な脆弱性があるとパーラー氏は述べ、Webアプリケーションに特化したペネトレーションテストが必要だとした。
また新規アプリケーションについては、「脆弱性がどこにあるかを認識できても、問題はそれをうまく修正できないこと。本当にセキュアなコードをどのように書いていくかを教えていかなければならない」(パーラー氏)
日本語で「セキュアなプログラミング」認定試験
これを踏まえてSANSは、NRIセキュアテクノロジーズとともに、日本語によるセキュリティに配慮したプログラミングの知識・スキルの認定試験「GIAC Secure Software Programmer(GSSP)」を国内で開始することを発表した。GIAC(Global Information Assurance Certificaiton)の1分野として、セキュアなプログラミング/コーディングに関する知識やスキルを証明する試験として実施される。初回試験は12月13日を予定しており、受験料は5万7000円。また、それに向けたトレーニング/研修も提供される。
まずC/C++向けとJava向けのテストから実施されるが、追ってC#やVisualBasicといった.NET向けのプログラミング言語も追加される予定だ。さらに、PHPをはじめとするほかの言語についても、試験を提供するとしている。
また、開発者側がセキュアなプログラミングの知識を身に付けても、それが実際のシステムに反映されなければ意味がない。往々にしてセキュリティの優先順位は、要求機能やパフォーマンス、納期といった要素の下に置かれがちだ。
パーラー氏は、ある企業の例を挙げて、セキュリティを後回しにするとかえって高く付くと述べた。「ある企業が1万1000ユーロのWebアプリケーションシステムを導入したが、検収後に、いくつかのセキュリティ問題が発見された。そこで外注先に修正を依頼したところ、『仕様書に書いていないから直せません』と断られた。交渉の結果、余分に1万4500ユーロ支払うことで修正が行われた」(同氏)。
こういうケースを考慮すると、Webアプリケーション開発を外注する際には「契約書の中に『納入前にブラックボックス/ホワイトボックス両方のセキュリティ検査を実施し、その結果を添える』という項目を含めるべきだ」とパーラー氏。確かにセキュアコーディングを実施することでコストはかさむが、せいぜい10〜15%程度にとどまるだろうと述べている。
関連リンク
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。