セキュアなプログラミングが必要とSANS

「ほかの誰のせいにもできない」Webアプリの脆弱性

2008/07/01

 「これまでは脆弱性が発見されても、ベンダのせいにしていればよかった。しかし、今攻撃のターゲットになっているソフトウェアを書いているのは自社自身。ほかの誰のせいにもできない」――米国のセキュリティ組織、SANS Instituteの代表兼調査部門ディレクターを務めるアラン・パーラー氏は、7月1日に開催した記者説明会の席でこのように説明した。

 SANSは7月1日、2日にわたって、情報セキュリティをテーマとしたイベント「SANS Future Visions 2008 Tokyo」を開催している。このイベントに合わせて来日したパーラー氏は、OSやネットワークに代わり、アプリケーション、それも独自に開発されたアプリケーションが攻撃者のターゲットになっていることを改めて指摘し、注意を呼び掛けた。

sans01.jpg SANS Institute 代表兼調査部門ディレクター アラン・パーラー氏

 SANSが世界中に設置したセンサーを通じて収集した調査によると、攻撃のターゲットになっているソフトウェアとしては「アンチウイルス、バックアップ、そしてWebアプリケーションの3つが圧倒的」(同氏)だという。中でも、昨年以降特に狙われているのが、企業が独自に開発し、作り込んだWebアプリケーションだ。

 2008年5月には、150万以上ものWebサイトが攻撃を受け、データを盗み取るだけでなく、アクセスしてきたユーザーをキーロガーなどに感染させるコードを埋め込まれた。このとき使われた攻撃手法は、国内でも多数のサイトに影響を及ぼしたSQLインジェクションだ。

 パーラー氏によると、この問題には2つの対処が必要だ。1つは、すでに実装済みのWebアプリケーションに存在する脆弱性を修正すること。もう1つは、現在進行形で開発中のアプリケーションに欠陥を埋め込まないようにすることだ。

 ソフトウェアの脆弱性をチェックする手法としては、外部からのスキャンによるブラックボックステスト、ソースコードを解析するホワイトボックステストがある。しかし、ことWebアプリケーションに関しては、両方を組み合わせてもなお検出が困難な脆弱性があるとパーラー氏は述べ、Webアプリケーションに特化したペネトレーションテストが必要だとした。

 また新規アプリケーションについては、「脆弱性がどこにあるかを認識できても、問題はそれをうまく修正できないこと。本当にセキュアなコードをどのように書いていくかを教えていかなければならない」(パーラー氏)

日本語で「セキュアなプログラミング」認定試験

 これを踏まえてSANSは、NRIセキュアテクノロジーズとともに、日本語によるセキュリティに配慮したプログラミングの知識・スキルの認定試験「GIAC Secure Software Programmer(GSSP)」を国内で開始することを発表した。GIAC(Global Information Assurance Certificaiton)の1分野として、セキュアなプログラミング/コーディングに関する知識やスキルを証明する試験として実施される。初回試験は12月13日を予定しており、受験料は5万7000円。また、それに向けたトレーニング/研修も提供される。

 まずC/C++向けとJava向けのテストから実施されるが、追ってC#やVisualBasicといった.NET向けのプログラミング言語も追加される予定だ。さらに、PHPをはじめとするほかの言語についても、試験を提供するとしている。

 また、開発者側がセキュアなプログラミングの知識を身に付けても、それが実際のシステムに反映されなければ意味がない。往々にしてセキュリティの優先順位は、要求機能やパフォーマンス、納期といった要素の下に置かれがちだ。

 パーラー氏は、ある企業の例を挙げて、セキュリティを後回しにするとかえって高く付くと述べた。「ある企業が1万1000ユーロのWebアプリケーションシステムを導入したが、検収後に、いくつかのセキュリティ問題が発見された。そこで外注先に修正を依頼したところ、『仕様書に書いていないから直せません』と断られた。交渉の結果、余分に1万4500ユーロ支払うことで修正が行われた」(同氏)。

 こういうケースを考慮すると、Webアプリケーション開発を外注する際には「契約書の中に『納入前にブラックボックス/ホワイトボックス両方のセキュリティ検査を実施し、その結果を添える』という項目を含めるべきだ」とパーラー氏。確かにセキュアコーディングを実施することでコストはかさむが、せいぜい10〜15%程度にとどまるだろうと述べている。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間