Webシステムでは、アプリケーションレベルでのセキュリティ対策が不可欠であるにもかかわらず、軽視されがちだ。この現状を改善する方法を考える。
昨今の個人情報などに対する不正アクセス関連事件では、Web経由で提供されているアプリケーション(ここではWebシステムと呼ぶ)のセキュリティ上の欠陥に付け込まれる例が多発している。この種の不正アクセスからWebシステムを守るには、ファイアウォールなどの事後的な、外付けのセキュリティ対策だけでは不十分である。システムを開発する時点で、セキュリティ上の欠陥が生じないようにしなければならない。
一般的なWebシステムでは、開発作業が外部に委託されるケースが多い。このため、開発提案を依頼する(RFP)段階において、セキュリティ対策を含めた提案をしてもらうべきである。セキュリティ対策が明示的な形でシステム要件に含まれないと、受注側で対策を施すインセンティブが働かないからである。
筆者がリーダーを務めるNPO日本ネットワークセキュリティ協会(JNSA)のセキュアシステム開発ガイドライン作成ワーキンググループでは、Webシステム開発を発注するに当たって、実際にRFPにどのような要件を含めるべきかについて検討してきた。2005年12月にはその成果として、β版ではあるがガイドラインを公開した。
そこで、ここでは2回に分けて、RFPに盛り込むべきセキュリティ要件につき説明する。まず、今回は昨今のセキュリティ事件の特徴から現在のWebシステム開発や、運用における課題を整理したうえで、システムオーナーがシステム開発ベンダに開発提案を依頼する段階でセキュリティ要件を盛り込むことの有効性を説明する。次回は、JNSAで作成したセキュアシステム開発ガイドライン「Webシステムセキュリティ要求仕様(RFP)編」を解説し、具体的に例示しながらその使い方について説明する。
いつの間にか、インターネットの活用は企業にとって暗黙の義務や責任となっている。今時、ホームページを持たない会社は、たとえどんなに実績があっても新たな取引先として信頼されないだろうし、電子メールが使えない会社とは取引をしたくもないだろう。実際、企業が事業活動を行うに当たり、これほど急速にインターネットが必要不可欠な存在になるとは誰が予想しただろうか。
こうした中で、2005年には、いままでと違うタイプの重大なセキュリティ事件が発生した。多くのメディアで取り上げられたSQLインジェクション攻撃による個人情報の漏えい事件がそれである。
この事件が、従来のセキュリティ事件と大きく異なる点としては、主として次の3つが挙げられる。
・対策の必要性が社会的に認知されていなかった
従来、「ここまでやっていれば安全だ」と考えられていたWebシステムのセキュリティ対策としては、「ファイアウォールを導入し、OSおよびWebサーバなどのミドルウェアに対する設定をきちんとしたうえで、公表されたセキュリティパッチをなるべく早く適用する」というものであった。
その対策の中には、今回のようなWebアプリケーション自体の作り(欠陥)が原因で、直接、情報漏えいが起こるという認識が存在しなかった。
・責任の所在について明確なコンセンサスが取れていない
Webアプリケーションの脆弱性に対する責任が、システムのオーナーにあるのか、システムの開発者にあるのか、はたまたシステムの運用者にあるのかについて、明確なコンセンサスがない。
昨今のWebシステムは、その形態はさまざまであっても、開発や、運用に関して発注されているケースがほとんどであろう。Webシステムのオーナーにしてみれば、当然のごとく、デザインや、機能、パフォーマンスとともにセキュリティに関しても発注先に責任を持ってほしいと考えるだろうし、責任を持って対策してもらっていると考えているだろう。
一方、システムの開発者や運用者は、他社との差別化要因としてデザインの優秀さや機能的な使い勝手の良さ、低コストなどは発注者に対して積極的にアピールするが、セキュリティ対策については、前述の差別化要因とのトレードオフになるため、積極的に話したがらないのが実情である。
・脆弱なWebシステムがいまだに多数存在している
2005年5月時点の数値だが、(株)ラック・コンピュータセキュリティ研究所の調査 「ホームページからの情報漏洩に対する脅威の現状」(ZIPファイル)によると、67%のサイトでクロスサイトスクリプティングの脆弱性が、37%のサイトでSQLインジェクションの欠陥が見つかっている。
この数値は、ラックがWebアプリケーション検査を実施した中での実数であることから、一般のWebサイトにおいては、セキュリティに対する意識がさらに低いと考えられ、確実にこれ以上の危険性を内在しているものと推測される。
Copyright © ITmedia, Inc. All Rights Reserved.