脆弱性検査のトレンドとして、近年はWebアプリケーションの脆弱性が注目されている。Webアプリケーションは、提供サイト自らで開発しており、開発工程や時間的制約の問題からセキュリティを軽視した開発が行われることが多かった。だが、Webアプリケーションはほとんどにおいてデータベースと連携する。脆弱性が存在すると、重要な個人情報の漏洩につながってしまう恐れがある。もちろん脆弱性検査ツールやデータベースシステムに特化した検査ツールを使用しても、Webアプリケーションサーバ自体に脆弱性が存在すれば大きな問題となってしまう。
Webアプリケーションの脆弱性は、比較的新しいセキュリティ分野でもあり、管理者の情報不足から不完全な形で運用が開始される場合も多い。悪いことに、Webアプリケーションに対する攻撃のほとんどがログに残らないため、攻撃の発見が遅れたり、発見が困難である。Webアプリケーションの脆弱性から個人情報を盗まれることが頻繁に起こっているからも、構築の際には細心の注意が必要となる。下記は、Webアプリケーションに潜む不具合の代表例である。
Webアプリケーションの検査手法としては、実際にHTMLタグのtext、hidden、Input、Select、Refererヘッダーなどから送られるデータにテスト文字列を入れて検査することが挙げられる。Webアプリケーション脆弱性検査ツールを利用すれば、自動でWebを巡回し変更可能なパラメータを洗い出して、カタログ化された攻撃用のコードに書き換えて送信する。ツールを使うことでCross Site Scripting、パラメータの操作、OSやデータベースのコマンドを不正に実行できるかが短時間で自動的に調べられるようになる。
手動検査する場合に便利かつ必須なツールとしては、Achilles、Odysseus、LiveHTTPHeaders、Burp proxyが挙げられる。Webアプリケーションの脆弱性に特化した情報源には、The Open Web Application Security Projrctがある。参照することをお勧めする。
個人情報漏洩というキーワードで情報を取り扱うためのガイドラインに対して、セキュリティベンダ各社から色々な製品やマネジメント・システムがリリースされているが、簡単に導入でき情報漏洩を防止できる絶対的な方法論はまだ見つからない。自分自身の情報を守るためには、自己の弱点を知ることが重要であり脆弱性を検査、修正を繰り返し実施するべきである。個人情報漏洩の1次被害、2次被害を未然に防ぐためにはインターネットを使うことの危険性を認識することだ。セキュリティ製品に頼ることも大事だが、日々のパッチ情報やセキュリティ情報に興味を持ち、使い慣れた製品をバージョンアップして使い続け、自己防衛することが大切である。
Copyright © ITmedia, Inc. All Rights Reserved.