ニュース
2004/05/26 15:16 更新
Web Application Securityフォーラム コンファレンス
安全なWebアプリ開発に正当な報酬を
頻発する個人情報漏洩事件などを背景に、Webアプリケーションのセキュリティがこれまで以上に求められている。開発の現場で必要な事柄とは何だろうか?
個人情報漏洩事件の頻発などを背景に、Webアプリケーションにおけるリスク管理に注目が集まっている。そのような状況の中、5月26日、品川プリンスホテルにて「Web Application Securityフォーラム 第一回コンファレンス」が開催された。
同フォーラムは今年3月に設立された業界団体だ。Webアプリケーション開発者や大学、研究機関、ベンダーらが、Webアプリケーションのセキュリティに関する見解を共有し、より安全なサイトを構築できるようにすることを目的としている。
このたび開催されたコンファレンスでは、さまざまな角度からWebアプリケーションのセキュリティに切り込むセッションが用意された。その中から、同フォーラムの発起人の一人でもある高木浩光氏(独立行政法人 産業技術総合研究所 グリッド研究センター セキュアプログラミングチーム長)が行った「安全なWebアプリ発注の適正価格化に向けて」の内容を紹介したい。
曖昧なセキュリティ対策のコスト構造
当たり前だが、システム開発にはコストがかかる。そして、セキュアなシステムを目指せば、さらに人件費や時間といった「追加コスト」が発生する。非常にシンプルな構造であり、頭の中では誰もが理解していることだ。
しかし、Webアプリケーション開発において脆弱性に対応する際の追加コストは、非常に抽象的で漠然としており、具体的な数字が見えにくい。脆弱性は多数存在するが、実際に対応する際のコストパフォーマンスが問われることもないため、Webアプリケーション自体の適正価格も「ない」に等しい状態だという。
ひとつの理由として、発注者側に脆弱性の知識がなく、仕様レベルで脆弱性への対応が求められないことが挙げられる。「脆弱性への具体的な対応が、発注者から求められること自体が少ない」と同氏も問題点を指摘する。最終的には開発企業やプログラマーの力量頼りになることが多いのだ。
ずさんな開発環境の現状
高木氏によれば、ずさんな開発が行われる背景には、「仕事を受注するために行われる限度を超えた落札競争」や、「受注を受けた下請け会社がさらに孫請けへ発注するといった行為」により、低コストで開発を行わなければならない現状があるという。
その場合、セキュリティの専門知識を持たない一般的な開発者が、一から独自にログインシステムなどを開発してしまうケースがほとんどのようだ。だがそこに落とし穴が生じる。同氏は「Cookie」や「POST」変数の誤った使用方法に起因する、単純ながらWebアプリケーションでしばしば見られる重大な脆弱性について、具体例をもって指摘した。
また低予算でシステム開発が行われる場合、セキュリティ対策がまったく施されていないCGIが、インターネット上で気軽に入手できるがゆえに利用される場合も多い。同氏は「日曜プログラマーが作成したようなCGIは絶対使うべきではない」と警鐘を鳴らしている。
実際、多額の開発費が費やされたであろう大手サイトでも、脆弱性に対して無防備なサイトは数多く存在している。同氏は過去に、大手ショッピングサイトや大手ソフトウェア会社、大手保険会社、IT情報サービスのウェブサイト上で脆弱性を発見し、それぞれのサイトへ報告したという。
その上、Webアプリケーション特有の問題もある。パッケージ化された一般的なアプリケーションとは異なり、それぞれのサイトごとにデザインされ、構築されている点だ。この結果、「第三者がチェックする機会が少なく、いきなり攻撃者にさらされてしまう」(同氏)。
適正価格がセキュアな環境に導く
ずさんな開発環境や妥当性のないシステム開発費用の問題を打破すべく、高木氏が提案するのが「適正価格化」の推進だ。
高木氏は、脆弱性への対応は「技術者の倫理的な問題ではないし、その場しのぎの個人的な力量で解決するべき問題でもない」という。さらに、「正当な評価がなされ、正当な報酬が支払われるべき」とし、システム開発における適正価格の必要性を訴えた。
この適正価格を決定するにあたり、同氏は「リスクとコストを考慮にいれたガイドライン」の必要性を挙げている。脆弱性を分類し、それぞれのリスクや対策に必要なコストを明確化、公表するというプロセスを通じて、セキュリティ、価格、いずれも妥当な「適正価格」を元にシステム開発が実現できるとしている。
もちろん、発注者側が脆弱性を理解できるようフォローすることも大切だ。発注者で脆弱性対応におけるコストを正しく認識できれば、対応すべき脆弱性をコスト面から取捨選択できる。また必要となる脆弱性対策は、仕様として明確に盛り込むことが可能となる。
同氏は、脆弱性やリスクを分類し、必要なコストを明らかにした上でリストとして提供することをWeb Application Securityフォーラムのひとつの役割ではないかと述べ、「この取り組みは始まったばかり。みなさんと考えていきたい」とまとめた。
関連記事
- 脆弱性情報の告知・公開のルール作りが前進
- 門林氏ら三氏が語る「Webアプリケーションのセキュリティ、これからの課題」
- 「安全なWebサイトはわずか数%」、Webアプリケーションセキュリティの向上目指した団体設立
関連リンク
[武山知裕,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
