こと脆弱性に関しては「Webアプリ開発会社を信じるな」?
F5ネットワークスが開催したプレス向けセミナーにおいて、セキュアスカイ・テクノロジーの乗口雅充氏が、Webアプリケーションの脆弱性の現状に警鐘を鳴らした。
「NRIセキュアテクノロジーズの調査によると、企業Webサイトの5割にセキュリティホールが存在するという結果だったが、まったく同感だ。むしろ、脆弱性が存在するのはそれ以上の割合ではないだろうか」――セキュリティ企業のセキュアスカイ・テクノロジーで代表取締役を務める乗口雅充氏は、12月6日にF5ネットワークスが開催したプレス向けセミナーの席でこのように語った。
2005年夏に発生した、SQLインジェクション攻撃によってWebサイトが不正アクセスを受け、顧客情報の漏洩につながった事件をきっかけに、Webアプリケーションの脆弱性に対する関心が高まっている。にもかかわらず、対策が進んでいるとは言い難い。
そもそもWebアプリケーションの脆弱性には、幾つか特有の課題がある。1つは、外部に対して開かれているポートを経由して攻撃が仕掛けられるため、従来のネットワークベースのセキュリティ対策では防御が困難なことだ。また、Webアプリケーションはそれぞれ個別に構築されることから、OSやパッケージソフトウェアとは異なり、ベンダーから修正用のパッチが提供されるわけではない。脆弱性のチェックにせよ修正にせよ、自ら行う必要がある。
乗口氏は、Webアプリケーションを狙う脅威が増大し、関心が高まっているにもかかわらず、対策が普及していない理由は3つあると指摘した。Webアプリケーションを開発する「開発者/開発会社」、運用する「ユーザー」、そしてセキュリティ検査サービスを提供する「検査会社」それぞれに要因があるという。
セキュアスカイ・テクノロジーの代表取締役、乗口雅充氏まずWebアプリケーション開発側については、「現場がぎりぎりな状況にあり、買いたたかれることもあってか、品質に関する観点が欠けている」と同氏。いわゆる大手システムインテグレータを除けば、開発側が能動的にセキュリティ検査と修正に取り組むのは無理だと判断したという。
「納品前に検査する習慣を根付かせたいと考え、6カ月間サービスを展開してきたが、実質無理だという結論に至った」(同氏)。市場が活況を呈している今、お金になるかどうか分からないセキュリティ上の修正に時間を割くよりも、他の仕事に回したほうがいいという考えが開発会社側にはあるという。
こうした状況を踏まえ、ユーザー側が受け入れ時にWebアプリケーションの脆弱性検査を行い、チェックをクリアしない限り検収しないという形が望ましいと乗口氏は述べた。今のところ、ユーザーにとっても、セキュリティよりも納期と価格が大きなポイントになっているというが、「開発会社を信じるな、自分で自分を守らざるを得ないと言いたい」(同氏)。セキュリティ検査の結果に応じて、カットオーバーの延期も含め、どういった対応を取っていくかについてルールを作るべきだという。
また、Webアプリケーション検査サービスやツールの価格も、対策の広がりを妨げる要因になっていると乗口氏。「脆弱性を気にしてはいるけれど、検査が高すぎてあきらめている企業もある」という。Webサイトの性質によっては、手動できめ細かく検査をすることも重要だが、自動化できるところはツールを活用することで低価格化は図れると同氏は述べ、事実、同社では価格を3分の1から5分の1にまで抑えることができたとした。
乗口氏のプレゼンテーションを踏まえ、F5ネットワークスのシニアプロダクトマーケティングマネジャー、武堂貴弘氏は「セキュアなプログラミングを行っていくことが基本中の基本」と述べた。しかし、Webアプリケーションファイアウォール(WAF)を活用すれば、修正の間に保険的な役割を果たすことができるとも言う。
「バグや脆弱性があったときに備えたもう一枚の壁がWAF。WAFを導入することにより、コーディングに余裕が生まれる」(同氏)
WAFについても、いくつか製品はあるものの、価格がネックとなって広く導入されているとは言い難い。F5ネットワークスでは、ロードバランサーの「BIG-IP」シリーズのモジュールとしてWAFの機能を搭載することにより、コスト面のハードルを大きく下げる方針だ。アプライアンス型のWAFが数百万クラスとなるのに対し、BIG-IPシリーズにアドオンするASM(Application Security Manager)ソフトウェアモジュールの価格は110万円からという。
BIG-IPシリーズに搭載することのメリットは他にもあると武堂氏。具体的には、専用OS「TMOS」とWAF機能を統合することによって、ルール言語の「iRules」を用い、より柔軟なポリシーを設定したり、SSLアクセラレーション機能を活用することが可能になるという。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Microsoft 365のTeamsセット売り中止、裏にあった規制と競合の圧力
- Windows 11 Homeの次期バージョン、BitLockerを自動で有効化へ
- VMware買収の真の狙いは? Google Cloud Nextで見えたBroadcomのビジョン
- FIDO2認証をバイパスされる脆弱性 セキュリティ研究者が複数のユースケースを検証
- Geminiを搭載 Googleが新たな脅威インテリジェンス「Google Threat Intelligence」を発表
- XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり?
- “心のアタックサーフェス”を保護せよ 巧妙化するサポート詐欺の対策を考える
- 身代金の支払い禁止は“おとぎ話”か? 完全禁止派 vs. 禁止措置緩和派の論争
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 生成AI vs. 人 フィッシングメールの質が高いのはどちらか? Splunkの研究成果
ITmediaはアイティメディア株式会社の登録商標です。