脆弱なWebアプリケーションから脱却する5つのコツ：個人情報保護時代の情報セキュリティ（1/3 ページ）

ショッピングサイトのように多くの個人情報を扱うWebサイトを運営しているのであれば、Webアプリケーションの脆弱性について早急に対策を取るべきだ。Webアプリケーションの安全性を高めるために考えられる対策として5つの方法を提案したい。

[中村隆之，ITmedia]

Webアプリケーションと個人情報

　多くの個人情報を扱うWebアプリケーションの1つに、ショッピングサイトがある。ショッピングサイト上には、利用者の名前や住所、電話番号などの個人情報が蓄積されている。それだけではなく、購入履歴やアンケートといった、他人には知られたくないような情報が登録されていることも多い。通常これらの情報は、データベース（DB）で管理されていることがほとんどだと思うが、WebアプリケーションにSQLインジェクションの脆弱性が存在すると、DB内の個人情報を一気に抜き取られてしまう。Webアプリケーションの脆弱性にはさまざまなものがあるが、個人情報漏えいという点では、SQLインジェクションは最も危険度が高い。

　現在でも、不正アクセスによる個人情報漏えい事件が多発しているが、攻撃を受けたサイトは氷山の一角にすぎない。同じような脆弱性を持つサイトはまだ多く残されている。Webアプリケーションの開発・運用に携わっているのであれば、不正アクセスによる個人情報漏えいを防ぐために、早急に対策を取るべきだ。

　また、Webアプリケーションの脆弱性は、個人情報の漏えいだけでなく、データの破壊、改ざん、サイトの不正利用といった、サイト運営側への直接被害も引き起こす。

Webアプリケーションの安全性を高める必要がある

　Webアプリケーションの脆弱性とその修正方法は、既に多くの冊子やWebサイト上で解説されているため、理解している読者も多いと思う。しかし、開発したWebアプリケーションに脆弱性が見つかった場合、単にそれを改修するだけで済ませていることが多いのではないだろうか。改修作業を行えば見つかった脆弱性はなくなるが、間違った方法で修正すると、新しい脆弱性を生み出してしまうこともある。開発手順や保守の仕組みなどを確実に整えなければ、「開発→脆弱性発見→改修」のパターンを繰り返すだけで、Webアプリケーションの品質はまったく向上しない。

　ここではWebアプリケーションの安全性を高めるために考えられる対策として、以下の5つの方法を提案したい。

• テスト項目
• セキュアなアプリケーション構造
• Webアプリケーション検査
• 開発ガイドラインの作成
• WAF（Web Application Firewall）の導入