Webシステム開発でセキュリティが軽視される理由:Webシステムのセキュリティ要件(1)(1/3 ページ)
Webシステムでは、アプリケーションレベルでのセキュリティ対策が不可欠であるにもかかわらず、軽視されがちだ。この現状を改善する方法を考える。
» 2006年01月25日 12時00分 公開
[丸山 司郎(株式会社ラック),@IT]
昨今の個人情報などに対する不正アクセス関連事件では、Web経由で提供されているアプリケーション︵ここではWebシステムと呼ぶ︶のセキュリティ上の欠陥に付け込まれる例が多発している。この種の不正アクセスからWebシステムを守るには、ファイアウォールなどの事後的な、外付けのセキュリティ対策だけでは不十分である。システムを開発する時点で、セキュリティ上の欠陥が生じないようにしなければならない。
一般的なWebシステムでは、開発作業が外部に委託されるケースが多い。このため、開発提案を依頼する︵RFP︶段階において、セキュリティ対策を含めた提案をしてもらうべきである。セキュリティ対策が明示的な形でシステム要件に含まれないと、受注側で対策を施すインセンティブが働かないからである。
筆者がリーダーを務めるNPO日本ネットワークセキュリティ協会︵JNSA︶のセキュアシステム開発ガイドライン作成ワーキンググループでは、Webシステム開発を発注するに当たって、実際にRFPにどのような要件を含めるべきかについて検討してきた。2005年12月にはその成果として、β版ではあるがガイドラインを公開した。
そこで、ここでは2回に分けて、RFPに盛り込むべきセキュリティ要件につき説明する。まず、今回は昨今のセキュリティ事件の特徴から現在のWebシステム開発や、運用における課題を整理したうえで、システムオーナーがシステム開発ベンダに開発提案を依頼する段階でセキュリティ要件を盛り込むことの有効性を説明する。次回は、JNSAで作成したセキュアシステム開発ガイドライン﹁Webシステムセキュリティ要求仕様︵RFP︶編﹂を解説し、具体的に例示しながらその使い方について説明する。
Webシステムセキュリティの現状
いつの間にか、インターネットの活用は企業にとって暗黙の義務や責任となっている。今時、ホームページを持たない会社は、たとえどんなに実績があっても新たな取引先として信頼されないだろうし、電子メールが使えない会社とは取引をしたくもないだろう。実際、企業が事業活動を行うに当たり、これほど急速にインターネットが必要不可欠な存在になるとは誰が予想しただろうか。 こうした中で、2005年には、いままでと違うタイプの重大なセキュリティ事件が発生した。多くのメディアで取り上げられたSQLインジェクション攻撃による個人情報の漏えい事件がそれである。 この事件が、従来のセキュリティ事件と大きく異なる点としては、主として次の3つが挙げられる。 ・対策の必要性が社会的に認知されていなかった 従来、﹁ここまでやっていれば安全だ﹂と考えられていたWebシステムのセキュリティ対策としては、﹁ファイアウォールを導入し、OSおよびWebサーバなどのミドルウェアに対する設定をきちんとしたうえで、公表されたセキュリティパッチをなるべく早く適用する﹂というものであった。 その対策の中には、今回のようなWebアプリケーション自体の作り︵欠陥︶が原因で、直接、情報漏えいが起こるという認識が存在しなかった。 ・責任の所在について明確なコンセンサスが取れていない Webアプリケーションの脆弱性に対する責任が、システムのオーナーにあるのか、システムの開発者にあるのか、はたまたシステムの運用者にあるのかについて、明確なコンセンサスがない。 昨今のWebシステムは、その形態はさまざまであっても、開発や、運用に関して発注されているケースがほとんどであろう。Webシステムのオーナーにしてみれば、当然のごとく、デザインや、機能、パフォーマンスとともにセキュリティに関しても発注先に責任を持ってほしいと考えるだろうし、責任を持って対策してもらっていると考えているだろう。 一方、システムの開発者や運用者は、他社との差別化要因としてデザインの優秀さや機能的な使い勝手の良さ、低コストなどは発注者に対して積極的にアピールするが、セキュリティ対策については、前述の差別化要因とのトレードオフになるため、積極的に話したがらないのが実情である。 ・脆弱なWebシステムがいまだに多数存在している 2005年5月時点の数値だが、︵株︶ラック・コンピュータセキュリティ研究所の調査 ﹁ホームページからの情報漏洩に対する脅威の現状﹂︵ZIPファイル︶によると、67%のサイトでクロスサイトスクリプティングの脆弱性が、37%のサイトでSQLインジェクションの欠陥が見つかっている。
図1 Webアプリケーションの欠陥を狙った攻撃この数値は、ラックがWebアプリケーション検査を実施した中での実数であることから、一般のWebサイトにおいては、セキュリティに対する意識がさらに低いと考えられ、確実にこれ以上の危険性を内在しているものと推測される。
Copyright © ITmedia, Inc. All Rights Reserved.
SpecialPR
SpecialPR
注目のテーマ
人気記事ランキング
- 「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
- LLMを自社特化にする「RAG」を使いこなすには 具体的な実装パターン2選
- OpenSSHのバージョンが知りたい
- 多要素認証アプリ「Authy」の脆弱性によって3300万件以上の電話番号が流出
- 中堅企業はなぜセキュリティに関心がないのか? 調査で分かった“ある勘違い”
- SNSにはびこるフェイク情報 加害者にならないためにはどうすればいい?
- OpenSSHにリモートコード実行の致命的な脆弱性 広範囲に影響が及ぶ可能性あり
- Ghostscriptの脆弱性は“過小評価”? 専門家の間で議論が巻き起こる
- NVIDIA、Intelらの戦略をまとめて紹介 苛烈さ増す「AI特化プロセッサ戦争」
- 「Microsoft 365」新ライセンスへ移行か否か、企業の考えは? 読者アンケートデータ集
あなたにおすすめの記事PR
