注目を集める"Webアプリケーションのセキュリティ対策"(3) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.22(水)

注目を集める"Webアプリケーションのセキュリティ対策"(3)

特集 特集

〜RSA Conference 2003 Japan クラストラックセッションレポート〜

〜[前号より]〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
 見てわかるように、データの送信先のURLを完全な形式に変更し、価格設定のHiddenパラメータを書き換えるだけである。後は、このHTMLをブラウザで表示させてアクセスするだけでよい。誰にでも簡単に改ざん行為が可能なのである。最近ではHiddenの危険性が理解されており、決済が発生するようなサイトではあまり使用されなくなっているが、ちょっとした応募サイトなどではまだまだ利用されている。私が最近アクセスしたサイトでは、特別会員と一般会員の判別に使用されていた。制作側がその影響とリスクを知った上で利用しているのであれば問題ないのだが実際はどうなのだろうか。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

 ここまでの話には特に難しい内容はなかったといえるだろう。しかし、実際のところ問題のレベルは様々だがほとんどのサイトのWebアプリケーションには何らかの問題があるのが現状である。Webアプリケーションセキュリティソリューションを扱っている米国のSanctum社のデータでは、300社のWebサイトを調査した結果97%のサイトで脆弱性が検出されたという統計もある。当然、ここで説明した内容は脆弱性の種類のほんの一部であり、Sanctum社ではWeb悪用の基本パターンだけで10種類を定義している。

参考:テクマトリックス社のホームページ
http://www.techmatrix.co.jp/sanctum/

 講演の中では技術的な話だけではなくWebアプリケーションセキュリティの根本的な問題についても説明をしていた。具体的には以下の3点である。

・事業者の開発コスト(期間)の問題
・Webアプリは素人でも作れるという誤った認識
・何でもWebがよいという風潮

 これは私にとっては今回の講演で一番重要な説明だったように思える。Webアプリケーションのセキュリティ問題とは言葉を変えるとアプリケーションの仕様上の問題、または、アプリケーションバグなのである。Webアプリケーションの利便性が前面に押し出され、セキュリティに対する処置が適切に実施されていないのが原因である。その理由は以下の2点のいずれかではないだろうか。

・Webアプリケーション開発者のセキュリティ知識が乏しく対応策が実装されていない
・セキュリティ知識はあるが実装するためにはコストがかかるために省略されてしまう

 また、問題は制作側だけにあるわけではなくサービス提供者側にもある。Webアプリケーションの開発を業者にまかせ、納入されたWebアプリケーションがセキュリティ上問題ないことを確かめずにユーザにサービス提供されることが多いのではないだろうか。そのサイトで問題が発生した場合、「制作は外部の業者に委託したので弊社に責任はありません」と説明するのだろうか。そして、それを聞いた被害者はどう思うのだろう。

 今後発展していくであろうWebサービスには以下の3つが必須である。

・制作者は安全性を含めた品質保証をする義務がある
・提供者は安全なサービスを利用者に提供する義務がある
・利用者は安全なサイトを判別する権利がある

 ただし、これを実現するのは非常に難しいのも事実だ。理由は、現状ではここまでやれば安全という基準が存在していないからである。Webサービスの形態は多種多様であり、基準を定義するのが難しいが、ある一定レベルの基準までは作成できるはずである。その基準を満たしたサイトであれば利用者は一定レベルの安全が保証されたサイトを判別することができるようになるだろう。また、最近ではインターネット関連のトラブルに対応した保険もでてきているが、残念ながら独自の基準であるため制作者・提供者・利用者がその基準を知ることは難しいものと思われる。


株式会社ネットワークセキュリティテクノロジージャパン
技術統括部・部長   岩崎哲也
102-0083 東京都千代田区麹町2−2麹町鈴木ビル3F
TEL 03-3515-1010 FAX 03-3515-7161


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×