意識は向上するも「対策漏れ」が目立つWebサイトのセキュリティ

NRIセキュアテクノロジーズのWebサイト診断サービスの結果によると、致命的な脆弱性にまったく対処していないサイトは減ったが、サイトの複雑化に伴い「対策漏れ」が多くなっているという。

[ITmedia]

　「取引先など関係者がアクセスする業務システムでは、一般消費者が利用する問い合わせサイトや会員制サイトに比べ、高い割合で問題が発見された」――NRIセキュアテクノロジーズ（NRIセキュア）が6月19日に明らかにしたWebサイト診断サービスの結果からは、このような傾向が明らかになったという。

　同社ではセキュリティサービスの1つとして、Webサイト／Webアプリケーションに存在する脆弱性をチェックするセキュリティ診断サービスを提供している。2006年度には企業・官公庁58社、計146サイトを対象に診断を行った。その結果全体の42％で、個人情報など重要な情報にアクセスし得る、危険度の高い脆弱性が発見されたという。

　脆弱性が存在する割合自体は、SQLインジェクション攻撃による情報漏えいが大きく報じられた2005年度に比べると減少しているものの、この3年間を通してみるとほとんど変わっていない。

　「不正アクセス事件が多く報道され、セキュリティ意識も高まっているが、安全性はあまり改善されていない。その理由としては、ハッカーの側が次々に新しい不正アクセス手法を作り出しており、いたちごっこになっていることが挙げられる」と、NRIセキュアのコンサルティング事業部主任コンサルタント、鴨志田昭輝氏は述べている。

　中でも比較的多く発見された問題が「関連チェック不足によるなりすまし」「権限昇格による管理者機能へのアクセス」、そして「SQLインジェクションによるデータベースの不正操作」の3つだ。いずれも「開発時に見落とされやすいポイントである」（鴨志田氏）点で共通しているという。

　同氏によると、それでもセキュリティ意識の向上などを背景に、こうした主要な問題にまったく何も対処していないサイトというのは減ってきているという。だが一方で、Webサイトの大規模化、複雑化も進んだ。

　この結果「対策漏れが多い。100ある画面のうち1つでも対策が漏れていれば、そこから不正アクセスを受ける恐れもある。だが、5つの画面で対策するのと100ある画面で対策するのとでは、難しさが圧倒的に異なってくる」（鴨志田氏）。

　こうした「漏れ」をなくす手法としては、ツールなどを用いたソースコードの検査が挙げられる。「ツールを利用すれば、全画面をくまなくチェックできるうえ、システムが本格稼働していなくとも開発段階でチェックでき、問題修正がラクになる」（同氏）。ただ、関連チェック不足によるなりすましなど、システムの仕様に関連してくる問題までは発見できない点に注意が必要という。

　もう1つ、この調査で興味深いのは、提供形態による診断結果の違いだ。不特定多数の一般消費者を対象に、認証もなく利用できる「問い合わせサイト」では、重要情報に不正にアクセスできたケースが10％にとどまり、危険度の高い問題が発見されなかった割合が58％に上ったのに対し、パスワード認証などを設けている「業務システム」ではそれぞれ74％、4％と正反対の結果となった。

　「業務システムでは、かなりの高い確率でクリティカルな問題が発見されている。おそらく、URLを知っている人は限られるし、身内からしかアクセスされないといった理由から、不正アクセスを受けるリスクは低いと思われているため、十分なセキュリティ対策が行われていないのだろう。しかし逆に、身内や取引先だからこそ不正アクセスを行うインセンティブがあるとも言える」と鴨志田氏は警鐘を鳴らしている。