三井物産セキュアディレクションは、2008年度に実施したWebアプリケーションの脆弱性検査の動向をまとめたリポートを発表した。
三井物産セキュアディレクション(MBSD)は7月21日、2008年度に実施したWebアプリケーションの脆弱性検査の動向をまとめたリポートを発表した。脆弱性の解消には、開発者への教育と定期検査の実施が重要になるとしている。
検査で脆弱性が見つかったのは全体の80%。評価別では、脆弱性が確認されなかった「S」が20%、危険度が低い脆弱性のみの「A」が20%、危険度が中程度の「B」が33%だった。特に情報漏えいや不正アクセスにつながる危険度の高い脆弱性が見つかった「C」は18%、危険度の高い脆弱性が多数見つかった「D」は9%だった。
2007年に比べてSとCおよびDの割合が増えている。同社では、安全性の高いWebアプリケーションが増加した一方、深刻な脆弱性を抱えるWebアプリケーションも増えており、二極化が進んだと分析する。
脆弱性の種類別ではクロスサイトスクリプティング(XSS)が55%で最多を占め、以下、パラメータ操作(35%)、クロスサイトリクエストフォージェリ(33%)、エラーコード(22%)の順だった。近年の攻撃対象にされることの多いSQLインジェクションは19%だった。同社によれば、JavaScriptの動的生成が原因となるXSSや、パラメータ操作が適切に行われないことでのユーザー権限の悪用といった事件があった。
アプリケーション開発者に対してセキュアコーディングの教育を実施している場合では、脆弱性件数が平均4.6件だった。教育を受けていない開発者によるWebアプリケーションでは同18.6件と多く、特に危険度の高い脆弱性は3倍近くも多かった。
脆弱性検査の経験がある企業での脆弱性件数は同8.3件で、経験のない企業(同30.1件)に比べて少なく、危険度の高い脆弱性件数は4分の1程度となった。
脆弱性対策やセキュリティレベルの向上には、アプリケーション開発者への教育と、定期的な検査の実施が有効になると、同社ではアドバイスする。実際にはコストなどの面で実施するのが難しい場合もあるが、プロジェクトの閑散期や新入社員研修といったタイミングに実施するだけも、一定以上の効果を期待できると解説している。
Copyright © ITmedia, Inc. All Rights Reserved.