【Scan Security Report】インターネットサービスの落とし穴〜Webアプリケーション・セキュリティの必要性〜

　もはや企業の必須条件ともいえる情報セキュリティマネジメント。
　しかし、こと「Webアプリケーション・セキュリティ」に関しては着手が遅れ、現在その「落とし穴」が相次いで狙われている。
　今回は、ハードおよびソフトウェアの販売、保守、教育、コンサルティング

特集特集

2002年6月24日（月） 12時00分

　もはや企業の必須条件ともいえる情報セキュリティマネジメント。
　しかし、こと「Webアプリケーション・セキュリティ」に関しては着手が遅れ、現在その「落とし穴」が相次いで狙われている。
　今回は、ハードおよびソフトウェアの販売、保守、教育、コンサルティングを事業の柱とするテクマトリックス株式会社に現在のWebアプリケーション・セキュリティの動向と必要性、同社サービスについて話を伺い、レポートする。
───────────────────────────────────

>> 増加するWebアプリケーションのハッキング

　現在、セキュリティ意識は一様に高まり、各企業もファイアウォールや侵入検知機能導入などの投資に踏み切る風潮になった。しかし、同社でWebアプリケーション脆弱性監査ソフトウェア「AppScan」を担当する斉藤大氏はこう語る。

「現在、ハッキングされうる脆弱性として注目されているクロスサイトスクリプティングの問題を考えてみてください。悪意の第三者は、従来の分散型DoS攻撃のような"力技"を用いるとは限りません。ポート番号80、つまり正規のルートから標的となるWebサイトにアクセスし、Webアプリケーションを悪用してHTMLに任意のスクリプトを埋め込むことのほうが、より脅威的な攻撃になることもあります。結果、個人情報や機密情報が悪用されれば、企業は顧客からの信頼を失い訴訟問題に発展しかねません。従来のようなネットワークレベルの不正アクセスはファイアウォールが威力を発揮しましたが、近年急激に増え続けているWebアプリケーションレベルへの攻撃、"Web Perversion（Webの悪用）"の前では、別の策を講じる必要があります。」

　Webアプリケーションはインターネット上いたる所で稼働している、悪意の第三者は脆弱性を持つサイトでそれを利用し、機密情報の閲覧、情報や価格の改ざん、セッションハイジャック等の不正行為を行うこととなる。さらに都合が悪いのは、そのような脆弱性を持つサイトが非常に多い点だ。

「米国でWebアプリケーションレベルのセキュリティサービスを展開するSanctum,Inc.の調査によると、300社のサイト中97％がなんらかの脆弱性を持っていることが判明しました。さらに米ICSAの調査では、監視された5,000のハッカーによる攻撃の3分の2はアプリケーションレベルのものであると判明しています。」

>> 手作業によるWebアプリケーション監査の限界

　危惧され、対処されるべきWebアプリケーションセキュリティだが、今まで問題視される機会はあまりなかった。マネジメント層やシステム担当者自身が、前述のような米国でのリサーチを対岸の火事とみなし、"ファイアウォールがある""データを暗号化している"ゆえに大丈夫、と誤認しているケースも多いという。さらに斉藤氏は「Webアプリケーションの開発、監査の段階においても、現在の手法では把握できない問題が多い」と続けた。

「開発においては、受託から納期までの期間の短さから細部のセキュリティまで手が回らない、という状況もあります。ご存じのように納品後、問題が見つかればパッチをリリースするといった対処が主流ですが、発覚が多頻度となると当然パッチを当てるクライアント側の担当者の従来作業を圧迫します。サービスを提供する側としては、出荷前にセキュリティホールを含むアプリケーションのバグを無くしておきたいが、チェックをかける時間がない、ということです。」

　現在、脆弱性の監査はどのように行っているのだろうか？

「ハッカーの攻撃パターンをひとつひとつ考え、それぞれ入力してゆく手作業をとっていますが、綿密な監査を行おうとすれば高度な知識も必要ですし、知識があったとしても、攻撃パターンは無数にありますから、莫大な時間がかかる。作業を手動で行っているかぎり、時間とコスト両面から見ても根本的に無理といわざるを得ないでしょう。」

　同社のWebアプリケーション脆弱性監査ソフトウェア「AppScan」は、自動で攻撃パターンを組、試し、結果をアウトプットする。実際に5ページ程のHTML、総リンク数17個のサイトでAppScanを使用すると、瞬時に1200あまりの攻撃パターンを考え、実行に移した。これを逐一、人の手で行うことは甚だ現実味がない。

　次回は、パラメータの改ざん、hiddenタグの不正操作など実際のWeb悪用事例を交えつつ、対策を講じていただきたい。
（なお、次回は「N+I NETWORK Guide」8月号に掲載予定）

監修/協力 N+I NETWORK Guide編集部
企画/制作 Scan Security Wire編集部

※本記事は、ソフトバンクパブリッシング発行の雑誌「N+I NETWORK Guide」との共同企画であり、6月18日発売の「N+I NETWORK Guide」に掲載されたものです。

《ScanNetSecurity》