| エンタープライズ:ニュース | 2002/10/07 22:03:00 更新 |
「Webアプリケーションのセキュリティにも注意を」、三井物産が検査サービス
三井物産のネットワーク・セキュリティ部門であるGTIプロジェクトセンターでは、10月7日より「Webアプリケーション検査サービス」を開始した。
ウイルス検査やファイアウォールの設置といったセキュリティ対策はこの数年でかなり浸透し、エンドユーザーにもその重要性が認識されるようになってきた。しかしながら、潜在的な危険性が高いにもかかわらず、見過ごされがちな問題が残されている。いまや企業内・外で一般的に利用されている、Webアプリケーションのセキュリティだ。
三井物産のネットワーク・セキュリティ部門であるGTIプロジェクトセンターでは、この問題に対処すべく、10月7日より「Webアプリケーション検査サービス」を開始した。名称のとおり、Webサーバとその上で稼働するCGIやWebアプリケーションに脆弱性がないかどうかをチェックし、その評価内容と対処法をレポートとして提出するサービスだ。料金は、サイトの構成・規模によって異なるが、1サイト当たり300万円からとなる。
既に多くの企業が、いわゆる「セキュリティ検査サービス」を提供している。だが大半は、OSやサーバなどのセキュリティホールについてチェックするもので、Webアプリケーションに特化したものは少ない。またあったとしても、その多くは市販のセキュリティ検査ツールを用いたもので、サイトの構成・設計によっては検査漏れが発生したり、複合的な手法を組み合わせた攻撃までは検査できなかったりした。
これに対しGTIプロジェクトのWebアプリケーション検査サービスでは、ツールも併用するものの、検査を行うのは基本的に「人」。検査期間として3〜4週間を要するが、その分、実際にフォームやURLなどをチェックし、サイトの挙動を確かめながら、深く検査を行うという。また、検査結果だけでなく調査プロセスについても、できるだけ顧客に開示していく方針だ。
となると検査作業の質は、検査を行う担当者の経験とスキル、勘がモノを言うことになるが、「海外のチャネルなどと連携しながら、新しい脆弱性や監査手法に関する情報を常に習得している」(同プロジェクトセンター、ジェネラルマネジャーの岡田卓也氏)。その質は、プリセールス段階の打ち合わせや並行して開催するセミナーの内容を通じて確認してもらいたいとしている。
Webアプリケーションの脆弱性には、クレジットカード番号を含む個人情報の流出を招きかねないクロスサイトスクリプティング問題のほか、Cookieやセッション管理の不適切な取り扱いによるセッションハイジャック、バッファオーバーフローなど、さまざまな危険が含まれている。だが、ウイルスやWebサイトの書き換えに比べると、目に見える被害が少ないせいか、認識は十分とはいえない。
そして、Webアプリケーションのセキュリティを高めるには、CGIなどを開発する時からこれらの要素を織り込み、本番稼働前に十分にチェックを行うことが最も確実な方法だ。ちょっとした入力チェックやセッション管理を心がければ防げる問題が多いが、納期や予算の関係上、そこまで手が回っていない開発現場も多いと思われる。
GTIプロジェクトではこうした現状を踏まえ、Webアプリケーション検査サービスと並行して、「技術トレーニングサービス」も提供していく。第1回目はそのものずばりの「セキュアWebアプリケーション構築方法」で、Webシステム設計・開発者を対象に、Webアプリケーションの脆弱性を未然に防ぎ、安全に運用・管理する手法について解説する予定だ。セミナー受講料は24万8000円。
関連リンク
三井物産 GTIプロジェクトセンター[ITmedia]
