最近、銀行や行政府、大手企業などの大手サイトでのクロスサイトスクリプティング脆弱性の発見が相次いでいる。 ざっとあげてみてもこれだけある。 みずほ銀行のWebサイトにクロスサイトスクリプティングの脆弱性 https://www.netsecurity.ne.jp/article/1/4636.html 警察庁、外務省、公安委員会のWebサイトにクロスサイトスクリプティング https://www.netsecurity.ne.jp/article/1/4403.html 首相官邸にクロスサイトスクリプティング問題 任意のメッセージを表示可能 https://www.netsecurity.ne.jp/article/1/4337.html UFJ銀行のサーバーにクロスサイトスクリプティングの脆弱性 https://www.netsecurity.ne.jp/article/1/3737.html これらのほとんどのサイトは、相当数のシステム部隊を投入して運営されていると考えられる。 それなのに、なぜ、既知の脆弱性がいまだに発見されているのだろうか?自サイトの問題が発覚した時に、他の大手サイトにも脆弱性はあると公言(みずほ銀行)する厚顔、無責任な企業体質もひとつの原因には違いない。 筆者なりに考えたが、安易なアウトソースと脆弱性検知ツールへの依存が要因になっているのではないかと思われる。 クロスサイトスクリプティング脆弱性は、安易なアウトソースと脆弱性検知ツールへの依存の実態を浮き彫りにしたのではないかと考えられる。 クロスサイトスクリプティング脆弱性は、サーバのバージョンもしくは CGI のコーディング上の問題に起因していることが多い。言葉をかえるとサーバのバージョンをちゃんと管理し、CGI のコーディングをきちんと行っていれば、容易にふせぐことができることが多い。 それでも、クロスサイトスクリプティング脆弱性が次々と発見されるのは、アウトソース先の業者まかせ、業者はツールまかせというお寒い実態があるのではないかと思われてもしかたがないであろう。>> アウトソース先の力量に依存するセキュリティ水準 ずさんな実態のアウトソース先 大手サイトでは、システムをアウトソースしているところが多い。 編集部の調査によると、 co.jp ドメインの60%がサーバ運営を外部にアウトソースしているとのことである。 「SCAN Security Alert」を発表!〜Scan Security Wireが国内企業サーバのセキュリティ実態を調査〜(2002.3.12) https://www.netsecurity.ne.jp/article/1/4298.html わが国の場合、よくいえば実績のある、言葉をかえるとブランドの知れた企業にシステム構築を委託することが多い。 これらの企業は、必ずしも全てのクライアントに対して、セキュリティのノウハウをもつ人材を提供できているわけではない。 ブランドの確立した業者の中でも過去にセキュリティ問題を起こしている業者は少なくない。多くの業者のブランドはセキュリティ技術で築かれたものではないので、ブランドがある=セキュリティにも強いとはならない。これは、ちょっと考えればわかることである。 また、同調査の結果では、数多くのサーバ事業者に脆弱性の可能性があることが指摘されている。いくつかのサーバについては、実際に脆弱性も確認されている。アウトソースを事業としながらも脆弱性の残るサーバを運用している無責任な業者もいることを忘れてはならない。>> 脆弱性検知ツールは有用だが、万能ではない それをカバーするためには、脆弱性発見ツールなどを用いることになる。 クライアントの方にも、もちろんセキュリティの専門家がいることはほとんどない。クライアントが、セキュリティ状態をチェッしたいと思ったら、専門のコンサルタントやセキュリティ監査を依頼することになる。しかし、黎明期の業界にありがちなことではあるが、業者も玉石混合である。そのため、セキュリティコンサルタントあるいはセキュリティ監査とは名ばかりで、脆弱性検知ツールをかけるだけの業者もいる。 当然、こういった業者では、脆弱性検知ツールにかからない新しい脆弱性の発見は難しい。 脆弱性検知ツールは、既知の脆弱性の検知を行うものであり、未知あるいは最新の攻撃方法に対する脆弱性の検出は困難である。新しい脆弱性に対応するまでには、どうしてもタイムラグが発生してしまう。>> アウトソース先の実績は事故履歴でもチェックできる アウトソース先の力量をどのようにチェックする方法はあるのだろうか? 方法はいくつかある。単純に、事故履歴をチェックするのもひとつの方法である。アウトソース先業者がてがけたサイトの事故履歴を知りたい時は、 www.netsecurity.ne.jp で検索すれば過去に事故があればでてくる。 また、過去のセキュリティ・インシデントをまとめた資料を参照するという方法もある。 「ネットワークセキュリティ・インシデント年鑑2001」販売開始 https://www.netsecurity.ne.jp/article/10/4675.html>> 新たな攻撃、脅威に対処するには、担当者自らが情報収集と研究が不可欠 日々、新しい脆弱性、攻撃方法が発見されている。 これらに対処するためには、担当者自らが情報収集、研究を怠らないことが不可欠といえる。 セキュリティに関しては、アウトソース先に聞いてもまっとうな答えが返ってくるとは限らないのである。セキュリティ情報を収集できるサイトやサービスの例 NetSecurity https://www.netsecurity.ne.jp/article/1/3763.html セキュリティホールmemo http://www.st.ryukoku.ac.jp/~kjm/security/memo/ イントラネット向け情報提供サービス http://www.vagabond.co.jp/press_y/ アイディフェンス iALERT http://shop.vagabond.co.jp/p-alt01.shtml[Prisoner Langley](詳しくはScan および Scan Daily EXpress 本誌をご覧ください) http://shop.vagabond.co.jp/m-ssw01.shtml http://shop.vagabond.co.jp/m-sdx01.shtml