ニュース
2004/03/13 03:16 更新


門林氏ら三氏が語る「Webアプリケーションのセキュリティ、これからの課題」

Web Application Securityフォーラムの設立に合わせて行われたプレカンファレンスの中で、NAISTの門林雄基氏、産業技術総合研究所の高木浩光氏、テックスタイルの岡田良太郎氏が、Webアプリケーションセキュリティの確保に向けた課題について語った。

 Webアプリケーションのセキュリティに関する情報共有を目的とした団体、「Web Application Securityフォーラム(WASフォーラム)」が、3月12日に設立された(昨日の記事参照)。

 同フォーラムの発起人には、奈良先端科学技術大学大学院助教授の門林雄基氏、産業技術総合研究所グリッド研究センターセキュアプログラミングチーム長の高木浩光氏、テックスタイル代表取締役社長の岡田良太郎氏の各氏が名を連ねている。設立発表に合わせて行われたプレカンファレンスでは、三氏がそれぞれの立場から、Webアプリケーションのセキュリティが抱える課題について指摘した。

 最初に登壇した門林氏は、「情報漏えいや改ざん、データの破壊といった事件は、実は昔からあった問題だ。だがWebアプリケーションの登場によって、こういった問題が発生しやすくなっているのも事実。企業内システムがインターネットに直接さらされるようになっていることが一連の問題の背景にあるのではないか」と指摘。その上で、Webアプリケーションの設計は、OSが備えてきた情報保護機構に学べる点が多いのではないかと述べている。

 その例の1つが、オブジェクトモデルに基づくアクセス制限だ。同じWebアプリケーションにアクセスするにも、初めて訪れてきたゲストユーザーと管理者とを区別し、しかも各々に許可する操作やリソースをプロセスごとに分け、管理するというものである。

 門林氏はまた、アクセスコントロールの原則――哲学――にも検討が必要と言う。「デフォルトでは(アクセスを)拒否させ、与える権限は最小限に抑えるべき。また、設定ミスなどが生じた場合でも安全サイドに倒す“フェイル・セーフティ”の考え方も重要だ」(同氏)。だが残念ながら、既存のアプリケーションの多くは、必ずしもそういった設計にはなっていないのが現状だ。

 さらに、「Webアプリケーションのセキュリティに特有の問題として、複数のホスト、複数のテクノロジにまたがって一貫したアクセス制御を実現するという課題もある」(門林氏)。

 とはいえ門林氏によれば、現時点でも相応のコストをかければ安全なWebアプリケーションを構築できることも事実。欠けているのは、「どうやって安全なWebアプリケーションシステムを構築できるかという教育や方法論、認識」(同氏)であり、それこそWASフォーラムが取り組むべき課題の1つであるという。また同時に、こういったシステムを購入、運用する側の認識も高めていく必要もあるという。

まずは「実態の把握を」

 続いて登場した高木氏は、「Webアプリケーションはそもそも、非常に脆弱な基盤の上に成り立っている」とばっさり。だが一方で、画面設計をはじめとする自由度の高さゆえに広く普及しているのも事実であり、Webアプリケーションを捨て去るという選択肢も現実的にありえない。その中での解決策は「公開主義」だと同氏は言う。

 Webアプリケーションにはさまざまな欠陥が存在しているが、その根本は、「Webアプリケーションの構築に適切な費用がかけられていないことだ」(高木氏)。このことは、Webアプリケーションを発注する側が、欠陥がいかにたやすく発生してしまうかという現実を認識していないこととつながっている。「発注者側は、普通にWebアプリケーションを発注すれば、普通に安全なものができてくると思っている」(同氏)。

 納品後のWebアプリケーションに何らかの問題が生じたとしても、開発者に修正を依頼したところ“これは契約外の項目なので追加料金が発生する”と言われ、そのまま放置するといったケースもある。そういった事態を避けるには、初めからセキュリティ要求を仕様書に盛り込んでおく必要があるのだが、「そもそもセキュリティ要件の書き方が分からないし、それを書くための情報も整理されていない」(高木氏)のが現状だ。

 問題をさらにややこしくしているのは、これらの問題を修正するための適正なコストがいったいいくらなのか、誰にも把握できていないことである。

 Webアプリケーションのセキュリティ問題を解決するには、こういった事柄を明らかにし、情報を共有していくことが重要だ。「まず必要なのは、実態を把握すること。欠陥の種別ごとに発生頻度や被害額を数値化し、そのリスクと適正な修正コストを求め、仕様書に盛り込むべきセキュリティ要件の見本を作っていくべき」(高木氏)。

 それでもなお、画面設計や安易なパスワードリマインダといった問題は残る。しかしながらまずは、何が問題であり、どの程度の被害が生じうるのかといった実態の把握が必要だという。

Webサイトに対する信頼は失墜?

 最後に登場した岡田氏は、個人情報の漏えい事件が相次いでいる昨今の事情を受け、「ユーザーは大きく失望しているのではないか。もはや“情報は漏えいする”という前提で個人情報を登録するというくらい、Webサイトに対する信頼が欠けてしまっているのではないか」と指摘している。

 同氏はまた、Webサイトを運営する側のリテラシーや目的意識の欠如に水を向けた。さらに、Webサイトに存在する問題を報告する際、報告者と運営者側の間に接点がないことも課題の1つだとしている。

 「これらを解決していくには、ガイドラインや指針の策定といった作業が必要になるだろう。ただそれらはあくまで、民間が自由に活動していくための基盤。ポイントは現場の人々、民間がどう活動していくかにある」(岡田氏)。

関連記事
▼「安全なWebサイトはわずか数%」、Webアプリケーションセキュリティの向上目指した団体設立

関連リンク
▼WASフォーラム

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.