クロスメディア研究会の7月tech Seminarでは、「Webセキュリティの現状と対策」としてWebセキュリティの基礎知識や対策、具体的な攻撃事例の紹介を通じて、Webサイトを構築・運営する立場の方が留意すべき内容を身につけていただくことを目的として開催された。まず情報処理推進機構 セキュリティセンター　若居氏よりWeb サイトを巡るセキュリティ動向を紹介いただいた後、Webセキュリティビジネスに携わるトライコーダ 上野氏より、なぜWebサイトが攻撃されるのか、また守るためには何をすればよいのか、という視点でお話いただいた。最後に、若居氏よりSQL インジェクション等の事例を交えてより具体的に対策方法を説明いただいた。

---

■近年のWebセキュリティ動向

最近のWebサイトにおける脅威は「見えない化」が進んでいる。例えば悪意のあるWebサイトにアクセスすることでウィルスに感染し、ボットプログラムが仕込まれ、悪事に利用されるといったふうに、脅威が単独で利用されず、互いに関連し利用されている状況となっている。特にメールや検索エンジン等から悪意のあるサイトに誘導し、被害にあう誘導型攻撃が一番の脅威となっている。

IPAに報告された不正アクセスの状況を見ると、ID・パスワードの不備やパッチの未導入、設定不備等が多いものの、約半数（49％）が原因不明であり、不正アクセスの手口が巧妙化し原因究明が困難な事例が増えている。これらの攻撃は基本的な対策で充分防御可能である。Webアプリケーションの状況では、クロスサイトスクリプティングとSQLインジェクションで7割以上を占めている。

■サイトを安全にするために重要なこと

車であれば、安全性とは事故を起こさないことであったり、タイヤがパンクしなかったりとイメージしやすいが、Webサイトの場合はイメージしにくく、基準がわかりにくい。Webを安全にするためには、現在のWebを取り巻く現状を知ることで対策をおこなうことができる。

かつては大手企業や官公庁など著名なサイトが狙われることが多く、動機も技術力の誇示や政治的な目的が多かった。しかし現在は金銭目的が圧倒的に多く、直接金銭や情報を盗まれたり、フィッシング詐欺の温床になったりの被害が増加している。攻撃も自動化ツールを使って無差別に行なわれており、攻撃成功後はこっそりサーバを利用したり情報を盗み続けるため、運営者は攻撃されていることに気づかないことも多い。

安全なWebサイトを作るためには設計以前の段階が重要である。早い段階で対応するほうがコストが少なく、サイト運用開始後に対応した場合、要求仕様・設計時の60倍のコストがかかるという算出結果もある。また要求仕様や設計だけではなく、開発時に必要な工数が確保できていなかったり、安全でないコードの再利用、テストケースの不備等により安全でないサイトとなることもある。

同じ車でも大統領の乗る車と一般者とは求められる安全基準が異なるように、守るべき資産に応じて、「どの程度安全にすべきなのか」という基準を知っておく必要がある。また、コスト、利便性、リスクはセキュリティとトレードオフの関係にあり、何を調整してセキュリティに割り当てるかが必要になってくる。

（詳細はクロスメディア研究会会報『VEHICLE』に掲載予定・2008年8月）

2008/08/02 00:00:00