 |
 |
記事検索 |
イベントレポート |
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
CGIを利用したWebアプリでは、2,000個の脆弱性が発見される場合もある |
||||||||||||
|
||||||||||||
|
~ディアイティ関義和氏が講演
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
Web Application Securityフォーラム事務局は25日、Webアプリケーションのセキュリティに関するコンファレンス「Web Application Securityフォーラム」を東京・品川プリンスホテルで開催した。「脆弱性検査の観点から見たWebサイトセキュリティ」と題した講演を紹介する。株式会社ディアイティの製品事業本部マーケティングユニット関義和氏が、Webアプリケーションにおける脆弱性検査の重要性などを説明した。 ● 個人情報保護の観点からも、脆弱性検査が必要 関氏は、まずWebアプリケーションを利用した商用サイトなどを運営している場合、Webサイトを防御する意味でも脆弱性の検査が必要であると指摘。検査で発見される脆弱性として、「アクセスコントロールの不備」「セッション管理とユーザー情報漏洩」「クロスサイトスクリプティング脆弱性」「サーバーやアプリケーションの設定ミス」などを挙げ、これらがユーザーの個人情報漏洩や改ざんなどへ繋がると警告した。さらに検査を実施することによって、「どこに脆弱性があるのか? サーバーか、ミドルウェアか、アプリケーションか?」といった問題や、「パッチで修正可能か? アプリケーションの作り直しが必要か?」といった点まで分析することが可能だという。
● よほどセキュリティに自信のあるサイトでも、1つや2つの脆弱性は必ず見つかる 続いて関氏は、「例外なく、すべてのWebアプリケーションサービスが検査を受ける必要がある」と説明。同氏の経験上から、「よほどセキュリティに自信のあるサイトでも、必ず1つか2つの脆弱性は見つかるものだ」と語った。見つかる脆弱性は、「終わったキャンペーンページがサーバー上に残っている」「フォルダの権限設定が甘い」「個人情報などが閲覧できる状態にある」など、比較的基本的なものが多いという。また、1~2個という例は、CGIなどの動的プログラムを利用していないHTMLベースのWebサイトの場合であり、CGIなどを利用している場合には、「1,000~2,000個の脆弱性が発見され、サービスを停止してしまうケースもある」という。 ● Webアプリケーションファイアウォールが有効 脆弱性検査を実施して情報収集することが重要であるが、結果に応じた対策も必要である。さらに、大きなサイトになると、手作業で修復するのが重労働となるという。このことから、「根本的な解決には至らないものの」と前置きした上で、関氏はWebアプリケーションファイアウォールの導入が比較的有効であると説明している。Webアプリケーションファイアウォールによって、サービスを止めることができないサーバーであっても、パッチを適用せずに済む場合もあり、ある程度のセキュリティが保たれるという。関氏は、Webアプリケーションファイアウォールを設置した上で、冗長化などを推進し、パッチ等を適用するのが理想だという。 これらのことから関氏は、Webアプリケーションを提供する場合の第一条件として、サイトの脆弱性検査を実施を挙げた。第二条件には、Webアプリケーションファイアウォールを導入し、一定のセキュリティレベルを確保すること、第三条件には、検査とファイアウォールを連携することで管理者負担を軽減し、検査後の対応漏れを無くすことを挙げて、講演を締めくくった。 関連情報 ■URL Web Application Securityコンファレンス http://www.nissho-ele.co.jp/event/wasf040525p.html
( 大津 心 )
- ページの先頭へ-
|
