現在地

Asial トップページ > Chorizo! ホーム > 脆弱性の現状

脆弱性の現状~Webアプリケーションのセキュリティ問題

Webアプリケーションの高機能セキュリティスキャナ

脆弱性の現状~Webアプリケーションのセキュリティ問題

増大傾向にある脆弱性の問題

企業のビジネスを左右する機密性の高い情報の多くはWebアプリケーション領域に格納されていますが、残念ながらサイバーテロやセキュリティ侵犯などネット攻撃の大半が、この企業にとって重要な情報が格納されているWebアプリケーション層の部分を対象としているのが現状です。

企業にとってこのWebアプリケーション領域を守ることは死活問題。もしこれらの機密問題が外部に漏れると、顧客の信頼を失い、経営が傾くほどの大問題になります。

有名な事例

  • 通信会社、400万件の個人情報漏洩
  • 官庁の情報漏洩
  • クレジットカードの被害

このような問題の原因となるセキュリティ問題として「脆弱性」が上げられます。

情報システムの設計エラーおよび実装エラーのうち、該当するシステムに保存された情報や、そのシステム経由で転送される情報の機密性、整合性を脅かすものを「脆弱性」と言いますが、シマンテックインターネットセキュリティ脅威レポート(2006年3月)によると、脆弱性の事例は2001年から2005年までは下記のような形で増加しています。

Webアプリケーションの脆弱性

   公開された脆弱性の総数(2001年~2005年) 資料作成:シマンテックコーポレーション

また、米国インパーバ社が2004年、政府機関、企業が運営する250サイトにWebアプリケーションの脆弱性の分析をしたところ、Webアプリケーションの92%に脆弱性の問題があることが判明、内訳は下記のものでした。

  • クロスサイトスクリプティング(XSS) 80%
  • SQLインジェクション 62%
  • パラメーター改ざん  60%
  • クッキーの改ざん 37%
  • データベースサーバへの攻撃 33%
  • Web サーバへの攻撃 23%

クロスサイトスクリプティング(XSS)攻撃が特に頻度が多く、アマゾン、Google、MSNなど日本でもおなじみの企業もその対象となっています。2006年下半期に報告されたシマンテック社のレポート(2007年3月)の下記項目にあるように現在も脆弱性の問題は増加傾向にあることが分かります。

  • シマンテックが2006 年下半期に記録した脆弱性は2,526 件となり、2006年上半期から12%増加するとともに、6 か月間の件数としては過去最高を記録した。
  • 今期に公表された脆弱性の 66% が Web アプリケーションに影響を及ぼす脆弱性であった。

企業はセキュリティの問題に対して最大限の施策を打つ必要がありますが、Webアプリケーションのセキュリティ問題は近年増加傾向にあり、企業の情報漏洩問題は後を絶たっていないのです。

実はベンダーも脆弱性を落としている!

  • 今期に記録された脆弱性の 68% 対し、該当ベンダーによる確認が行われていない。

上記はシマンテック社のレポートから引用したデータですが、発見される脆弱性のうち68%はベンダー未確認のものである」というデータが出ているのです。(ベンダー未確認の脆弱性の問題の背景には、脆弱性を報告するためのリソースを監視していないことが多いようです)

Webアプリケーションのセキュリティは不完全な状況にあると言っていいでしょう。

※参考文献:

※詳しくは上記リンク元の文献をご覧下さい

なぜ十分にセキュリティ対策が行われていないのか

現在行われているWebアプリケーションのセキュリティ対策は、ネットワーク層でのセキュリティ対策、OSに存在するセキュリティホールに関するセキュリティ対策がメインとなっています。また、ほとんどの企業がセキュリティ専門の企業にリサーチを依頼し対策を行い、セキュリティ面での努力をしています。とはいうものの、このようなリサーチはたいてい年に1~2階、多くとも数階というのが現状です。

そもそもアプリケーションの開発はサイトのバージョンアップ、修正などを含めると定期的に行われており、データベースの内容も日々進化しています。このような日々のWebアプリケーションの変化の中でも脆弱性が発生する可能性があります。

例えるなら、病状は分からないうちに進展するもので、日々の生活を送っている一般人は体調管理に気をつけていても自分が病気であることにはなかなか気づかないものですね。専門家であるドクターでさえも最新技術を駆使した専門機器を使用しないと悪い症状を見落としてしまう可能性があります。

セキュリティ問題をWebアプリケーションの開発者がすべてカバーできれば良いように思われますが、実際はなかなかうまくいきません。開発者はセキュリティの専門家ではないことに加え、相当なテクニックを持っている方でも、コーディングをしながら万全なセキュリティ対策をとることは困難を極めるからです。

セキュリティ対策として必要なこと~リスクの軽減のために

病気を早期に発見した方が良いのと同様に、セキュリティの問題もいち早く発見した方が被害を最小限に食い止めることができます。

日々のメンテナンス改修の中で生まれてしまうセキュリティの問題に対して、年に数回の診断で充分といえるのでしょうか。現状より早くセキュリティの問題を発見しその対策を行い、リスクを軽減するには、もっと高頻度で繰り返し診断することが必要となります。

こまめなセキュリティ診断がリスクを軽減する

Webアプリケーション のセキュリティ対策としては、

  • 開発段階にセキュリティ診断を行う
  • Webアプリケーション運用時に定期的に繰り返し脆弱性の診断を行う
  • 診断結果から既知の脆弱性を把握し、リスク、傾向分析を参考にその対策を行う

こうすることがセキュリティ問題への最大の対策になるのです。

ページの先頭へ