ニュース
2004/03/12 13:16 更新
「安全なWebサイトはわずか数%」、Webアプリケーションセキュリティの向上目指した団体設立
Webアプリケーションのセキュリティに関する情報共有や意識の向上を目指す団体、「Web Application Securityフォーラム(WASフォーラム)」が設立された。
「従来型のファイアウォールだけでは守りきれないWebアプリケーションのセキュリティ対策は欠かすことができない」――。
3月12日、Webアプリケーションのセキュリティに関する情報共有や意識の向上を目指した団体、「Web Application Securityフォーラム(WASフォーラム)」が設立された。発表の席において同フォーラム事務局の福田敬氏(日商エレクトロニクス専務執行役員)は冒頭のように述べ、ウイルス対策やファイアウォールの設置にとどまらない、より高いレベルでの防御の必要性を訴えかけた。
一口にWebアプリケーションの脆弱性といっても、クロスサイトスクリプティングやSQL Injection、Command Injectionなどさまざまな種類がある(今後も新たな種類が登場するだろう)。そして、こういったWebアプリケーションの脆弱性がひとたび悪用されれば、個人情報の漏えいや企業にとって重要な情報の閲覧、改ざんといった深刻な事態を招きかねない。
にもかかわらず、世間を騒がせるウイルスなどに比べると、Webアプリケーションの脆弱性に対する関心はユーザー側、運営側ともに低いままだ。あるセキュリティ研究者に言わせれば、ほぼすべてのサイトに何らかのWebアプリケーションの脆弱性が見つかるといった状況という。
WASフォーラム実行委員の1人、三井物産情報産業本部の新井一人氏(ITサービス事業部セキュリティビジネス室マネージャ)は、この1年半余りの間、Webアプリケーションの脆弱性調査サービスに携わってきた経験を元に、次のように述べた。「調査対象の約60%に、個人情報漏えいなどにつながる致命的な脆弱性が存在した。また全体の80%には、複数の脆弱性が存在していた。セキュアなサイトと呼べるのはほんの数%、6〜7%しかない」。
自ら脆弱性の有無を検査しようと考えた、比較的Webアプリケーションの脆弱性に対する意識が高いサイトが母数になっていながら、この数字である。Webサイト全体を見れば、この数字はずっと低くなるに違いない。
WASフォーラムはこういった現状を踏まえ、Webアプリケーションにはどういったセキュリティ問題が存在し、それらを解決するためにはどのような対策が必要かといった情報を、セミナーやWebサイトを通じて発信していくという。最終的には安全なWebアプリケーション構築手法が実現され、はじめから安全な形でシステムが構築されるようになることが望ましいが、それまでの間の防御策――アプリケーションファイアウォールなど――の情報も紹介していく方針だ。
具体的には、5月にカンファレンスを予定しているほか、年2回の公開セミナーを開催する。またWebサイトで資料や情報を提供するほか、Webアプリケーションセキュリティに関する書籍の発行も計画しているという。また、米国で2月に設立されたWASC(Web Application Security Consortium)との間での情報交換も視野に入れている。
同フォーラムは、奈良先端科学技術大学大学院助教授の門林雄基氏、産業技術総合研究所グリッド研究センターセキュアプログラミングチーム長の高木浩光氏、テックスタイル代表取締役社長の岡田良太郎氏が発起人となり設立された。実行委員には三井物産、ソフテック、ディアィティ、テクマトリックス、日立ソフトウェアエンジニアリング、日商エレクトロニクスから参加があり、経済産業省商務情報政策局情報セキュリティ政策室がオブザーバーを務める。
今後Webサイトを通じて、個人会員の募集を開始する。資格は特に問わず、Webアプリケーションに関わる人を広く募集していく方針だ。また法人会員についても検討するという。
関連記事
安全なコーディングを実現する手法は「仕様と設計、レビューのスパイラル」関連リンク
WASフォーラム[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
