安易なアウトソースとツールへの依存がもたらすサイト脆弱性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.11(月)

安易なアウトソースとツールへの依存がもたらすサイト脆弱性

製品・サービス・業界動向 業界動向

 最近、銀行や行政府、大手企業などの大手サイトでのクロスサイトスクリプティング脆弱性の発見が相次いでいる。
 ざっとあげてみてもこれだけある。

みずほ銀行のWebサイトにクロスサイトスクリプティングの脆弱性
https://www.netsecurity.ne.jp/article/1/4636.html
警察庁、外務省、公安委員会のWebサイトにクロスサイトスクリプティング
https://www.netsecurity.ne.jp/article/1/4403.html
首相官邸にクロスサイトスクリプティング問題 任意のメッセージを表示可能
https://www.netsecurity.ne.jp/article/1/4337.html
UFJ銀行のサーバーにクロスサイトスクリプティングの脆弱性
https://www.netsecurity.ne.jp/article/1/3737.html

 これらのほとんどのサイトは、相当数のシステム部隊を投入して運営されていると考えられる。
 それなのに、なぜ、既知の脆弱性がいまだに発見されているのだろうか?自サイトの問題が発覚した時に、他の大手サイトにも脆弱性はあると公言(みずほ銀行)する厚顔、無責任な企業体質もひとつの原因には違いない。

 筆者なりに考えたが、安易なアウトソースと脆弱性検知ツールへの依存が要因になっているのではないかと思われる。
 クロスサイトスクリプティング脆弱性は、安易なアウトソースと脆弱性検知ツールへの依存の実態を浮き彫りにしたのではないかと考えられる。
 クロスサイトスクリプティング脆弱性は、サーバのバージョンもしくは CGI のコーディング上の問題に起因していることが多い。言葉をかえるとサーバのバージョンをちゃんと管理し、CGI のコーディングをきちんと行っていれば、容易にふせぐことができることが多い。
 それでも、クロスサイトスクリプティング脆弱性が次々と発見されるのは、アウトソース先の業者まかせ、業者はツールまかせというお寒い実態があるのではないかと思われてもしかたがないであろう。


>> アウトソース先の力量に依存するセキュリティ水準 ずさんな実態のアウトソース先

 大手サイトでは、システムをアウトソースしているところが多い。
 編集部の調査によると、 co.jp ドメインの60%がサーバ運営を外部にアウトソースしているとのことである。

「SCAN Security Alert」を発表!〜Scan Security Wireが国内企業サーバのセキュリティ実態を調査〜(2002.3.12)
https://www.netsecurity.ne.jp/article/1/4298.html

 わが国の場合、よくいえば実績のある、言葉をかえるとブランドの知れた企業にシステム構築を委託することが多い。
 これらの企業は、必ずしも全てのクライアントに対して、セキュリティのノウハウをもつ人材を提供できているわけではない。
 ブランドの確立した業者の中でも過去にセキュリティ問題を起こしている業者は少なくない。多くの業者のブランドはセキュリティ技術で築かれたものではないので、ブランドがある=セキュリティにも強いとはならない。これは、ちょっと考えればわかることである。

 また、同調査の結果では、数多くのサーバ事業者に脆弱性の可能性があることが指摘されている。いくつかのサーバについては、実際に脆弱性も確認されている。アウトソースを事業としながらも脆弱性の残るサーバを運用している無責任な業者もいることを忘れてはならない。


>> 脆弱性検知ツールは有用だが、万能ではない

 それをカバーするためには、脆弱性発見ツールなどを用いることになる。
 クライアントの方にも、もちろんセキュリティの専門家がいることはほとんどない。クライアントが、セキュリティ状態をチェッしたいと思ったら、専門のコンサルタントやセキュリティ監査を依頼することになる。しかし、黎明期の業界にありがちなことではあるが、業者も玉石混合である。そのため、セキュリティコンサルタントあるいはセキュリティ監査とは名ばかりで、脆弱性検知ツールをかけるだけの業者もいる。
 当然、こういった業者では、脆弱性検知ツールにかからない新しい脆弱性の発見は難しい。
 脆弱性検知ツールは、既知の脆弱性の検知を行うものであり、未知あるいは最新の攻撃方法に対する脆弱性の検出は困難である。新しい脆弱性に対応するまでには、どうしてもタイムラグが発生してしまう。


>> アウトソース先の実績は事故履歴でもチェックできる

 アウトソース先の力量をどのようにチェックする方法はあるのだろうか?
 方法はいくつかある。単純に、事故履歴をチェックするのもひとつの方法である。アウトソース先業者がてがけたサイトの事故履歴を知りたい時は、 www.netsecurity.ne.jp で検索すれば過去に事故があればでてくる。
 また、過去のセキュリティ・インシデントをまとめた資料を参照するという方法もある。

「ネットワークセキュリティ・インシデント年鑑2001」販売開始
https://www.netsecurity.ne.jp/article/10/4675.html


>> 新たな攻撃、脅威に対処するには、担当者自らが情報収集と研究が不可欠

 日々、新しい脆弱性、攻撃方法が発見されている。
 これらに対処するためには、担当者自らが情報収集、研究を怠らないことが不可欠といえる。
 セキュリティに関しては、アウトソース先に聞いてもまっとうな答えが返ってくるとは限らないのである。

セキュリティ情報を収集できるサイトやサービスの例
NetSecurity
https://www.netsecurity.ne.jp/article/1/3763.html
セキュリティホールmemo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
イントラネット向け情報提供サービス
http://www.vagabond.co.jp/press_y/
アイディフェンス iALERT
http://shop.vagabond.co.jp/p-alt01.shtml


[Prisoner Langley]

(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 人の動作に偽装するボットアクセスを検知(アカマイ)

  8. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  9. 学校の自殺予防体制、情報セキュリティ技術活用

  10. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×