内部を守るセキュリティとサービス利用者を守るセキュリティ
| 【国内記事】 | 2002.3.13 |
「Scan Security Wire」などのメールマガジンを発行しているバガボンドとNPOのネットワークリスクマネジメント協会(NRA)は3月12日,国内約17万件を対象としたサーバのセキュリティ状況の調査結果を発表した。
公開された「SCAN NRA Security Alert」の要約によれば,調査対象となった「co.jp」ドメインの企業サーバで,OSやWebサーバアプリケーションが特定できたもののうち,90%以上で古いバージョンのものが利用されていたという。
さらに,全体のうち20%に当たる約3万件は,既知のセキュリティホールが存在するか攻撃方法が公開されており“きわめて危険”な状態にあるという。同社ではこうした管理の甘いサーバが悪用されて攻撃の踏み台とされたり,悪意あるプログラムを仕込まれ,企業データや個人情報などを盗み出される可能性を指摘している。
同じ3月12日,翔泳社の主催で開催された「SEC 2002 Spring」の中で,ラック コンピュータセキュリティ研究所,常務取締役所長の三輪信雄氏は,「一般に言われている対策だけでは不十分だ」と述べ,ウイルス対策ソフトやファイアウォールの役割が過信されているとした。そして,重要なマシンとそうでないマシンとの区別なく最新のパッチを適用し続けることの重要性に触れ,セキュリティポリシーの下,その作業を徹底させることが必要だとした。
もちろん中には,アプリケーションとの整合性から,アップデートをしようにもできないケースが含まれているかもしれない。だがその場合には「IDS(侵入検知システム)などを利用し,常時監視下に置く必要がある。こうしたマシンは風邪に移りやすい人と同じで,まとめて隔離すべき」(三輪氏)
しかしバガボンドらの調査結果を見る限り,クライアントはおろか,重要であるはずのWebサーバですら,OSのアップデートやパッチの適用がなされているとはいえない。両社は,これらのサーバに対する管理は適切に行われてはいないと推測し,早急な対応が必要だとしている。
なおSCAN NRA Security Alertでは同時に,調査対象のサーバの60%以上が,サービスプロバイダーやデータセンターなど外部の業者に委託されていることも判明したという。サーバを自社で運用するよりも,管理体制が整った外部業者に委託する傾向が強いことが明らかとなったわけだが,これは同時に,委託の際には外部業者のセキュリティ体制を見極める目が必要だということも意味する。
Webサイトに存在するセキュリティ上の不備
セキュリティというと主に「自社のシステムをいかに外部からの攻撃から守るか」「自社が踏み台となって第三者に迷惑をかけないためにはどうするか」がテーマとして取り上げられることが多い。だが問題はそれだけではない。
12日に開催されたSEC 2002 Springでは,産業技術総合研究所の高木浩光氏が「e-コマースサイトの脆弱な現実」と題するセッションを行った。この中で同氏は,クロスサイトスクリプティング問題をはじめ,cookieを利用した安易なセッション管理にともなう個人情報の漏洩や,シングルクリック注文によるニセの注文発行,セッションIDをURLに含めたセッション管理による情報流出など,具体的な例を挙げながらWebサイトに潜むセキュリティ上の問題を指摘し,その原因を説明した。
「(これらは)不正アクセス行為を行わずとも存在を推定できる問題,つまり誰でも分かる問題。それだけに脅威の現実性は高い」と高木氏は指摘した。しかしながら,Cookieの内容やURLのチェック,フォームへの入力テストなどを通じて,ユーザーが自分でサイトの安全性を判断することはできる。何らかのサービスを利用する際には,その点を頭に入れ,危険性が高い場合にそのサイトは避けるといった自衛は可能ともいう。
だが,高木氏がこのセッションで指摘したケース以外にも,Webサイトに関する問題は後を絶たないようだ。
これに先立つ2月末には,北海道のBNN(ブレーン・ニュース・ネットワーク)が,北海道の自治体(同,支庁,市町村)のWebサイトを対象に,クロスサイトスクリプティング問題の有無について独自調査を行い,その結果を報告している。この結果,全216サイトのうち31サイトで,この問題が確認されたという。この割合から推測するに,相当数のWebサイトに情報流出を許しかねないセキュリティ上の問題が存在していることは想像に難くない。
PKIベースの証明書発行サービスを提供している日本ベリサインでは,3月7日に「Secure Site シール」に関し,Webサーバ上の情報の一部が見えてしまう問題があったことが判明した。SSLの機能そのものには問題ないが,同社は現在,Secure Site シールのサービスを停止している。また,NTTコミュニケーションズは3月11日より,セキュリティ関連情報を提供する「OCNセキュリティニュース」の申し込み受付を開始したが,その登録フォームに不具合があったことから,数時間運用を停止。修正のうえ登録作業を再開した。
実を言えばZDNet Japanも例外ではない。先日ある読者の方から,ZDNet Japanに存在したクロスサイトスクリプティング問題に対する指摘をいただいた。この指摘があってはじめて修正を行ったというのが実情である。
開発段階からのチェックを
弱点を含んだWebサイトを公開している側はおそらく,顧客に便利なサービスを提供しようという意図の下,検索機能,フォーム入力に基づいたページのカスタマイズやメール送信などのサービスを提供しているはずだ。しかし,動的なWebサイト構築における設計,実装方法が安易なために,ユーザーの個人情報を流出させ,かえって被害を与えかねない事態を招いている。
Webサイトに存在するセキュリティ問題は,技術的な観点からは,きちんとしたセッション管理やメタキャラクタに対するエスケープ処理,セキュリティ関連情報のチェックとそれに基づくアプリケーションのアップデート,パッチの適用といった作業を通じて大部分は解消できるはずだ。
合わせて,仕様設計や開発,納入といった各ステップにおいて,セキュリティの視点からの入念なチェックも必要だろう。納期やコストを考えれば現実的ではない,という向きもあるかもしれないが,それによって引き起こされる被害の可能性を踏まえて,開発側の対処を期待したい。
セキュリティからはやや逸れるが,サイト運用者の観点に立てば,もうワンステップ必要だろう。高木氏は12日のセッションの中で,個人情報を預かるということの重大さを認識したうえで,「預かる情報を最小限にすべきだ」と述べている。つまり,“その情報は本当に必要なものかどうか”という自問が求められるべきということだ。便利だからという考えで安易に個人情報を得てサービスを提供することの意味と責任を,もう一度考え直す必要があるだろう。
現状はまだまだだが,今すぐ取れる対策は幾つかある。これまでの,内部を守るためのセキュリティ対策はもちろん,Webサイトを通じたサービスにおけるセキュリティについても考慮する必要があるだろう。
関連リンク
[高橋睦美 ,ITmedia]
