HASH コンサルティング 徳丸 浩氏に聞く Web アプリ脆弱性対策のこれから(2) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.25(土)

HASH コンサルティング 徳丸 浩氏に聞く Web アプリ脆弱性対策のこれから(2)

特集 特集

 HASHコンサルティングの徳丸浩氏は、前職の京セラコミュニケーションシステム(KCCS)では80名ほどの部下を抱える事業本部の副本部長まで務めながら、技術に携わり続ける道を選んで2008年4月に独立を果たした。そんな徳丸氏に、現在のWebアプリケーションが抱えるセキュリティ問題の解決方法と、独立についての話を編集部が聞いた。



■クロスサイトスクリプティングの脆弱性を甘く見ない方がいい

 ここ数年で、SQLインジェクションの脆弱性を狙った攻撃が急増しています。Webページにウイルスを埋め込まれたり、個人情報を奪取されたりと、目立った被害もいくつか見られます。しかし、今はSQLインジェクションに対する脆弱性を抱えたWebサイトはいくつもありますが、SQLインジェクションの対策自体はそれほど難しくないので、そのうち普及すると考えています。

 SQLインジェクション対策が普及した後に問題になるのは、クロスサイトスクリプティングだと考えています。

 2006年にYahoo!メールを狙った「Yamanner」と名付けられたウイルス事件がありました。このウイルスは、狙ったアカウントのメールフォルダからメールアドレスを収集して、あるサイトへHTTPで送信し、収集したアドレスの中にYahoo!メールのユーザーが入れば、更にYamannerを含むメールを送信して感染を広げるというものです。

 このウイルスの実体はJavaScriptで書かれていて、Yahoo!メールのクロスサイトスクリプティングの脆弱性を利用するものでした。

 このときはメールアドレスを収集するといった程度の被害で済みましたが、さらに大きな被害に発展する可能性は十分ありました。もし、こういったウイルスを使って、金銭に関係するようなものを盗んだりするなどの悪用方法が見つかったら大変なことになります。

■最近のクロスサイトスクリプティングの脆弱性を利用した攻撃

 最近注目されたものとしては、予告inという犯行予告の収集サイトにクロスサイトスクリプティングの脆弱性があり、アクセスしたユーザーが自動的に2chに犯行予告を書き込むという事件がありました。

 クロスサイトスクリプティングは、脆弱性の存在を外部から簡単に確認することができますが、その対策は十分に浸透していないと感じています。今後はクロスサイトスクリプティングの脆弱性を利用した自動攻撃などが次々に登場するでしょう。

■セキュリティの問題は品質問題なので解決可能

 私はセキュリティの問題は品質の問題だと考えています。つまり、セキュリティの問題は管理することができるということです。

 HASHコンサルティングの業務の1つとして、開発ガイドラインの策定があります。その会社の開発プロセスについてヒアリングを行い、セキュリティ以外の部分も含めた開発標準なども参考にすることで、顧客の現状の開発プロセスにどっぷりと浸かって、その会社の文化にあわせたセキュアWebアプリケーションの開発ガイドラインを策定することを目的としています。

 もう1つの業務として…

【執筆:株式会社トライコーダ 上野 宣 ( http://www.tricorder.jp/ )】


【関連記事】
HASH コンサルティング 徳丸 浩氏に聞く Web アプリ脆弱性対策のこれから(1)
https://www.netsecurity.ne.jp/3_12140.html

【関連リンク】
HASHコンサルティング株式会社
http://www.hash-c.co.jp/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  8. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  10. ISMS認証とは何か■第1回■

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×