～「既存のツールを使った検査サービスでは不十分」三井物産岡田氏

三井物産、“手作業”によるWebアプリケーション検査サービスを開始

■URL
http://www.gtisec.net/news/news005_1007.html

三井物産GTIプロジェクトセンタのジェネラルマネージャ岡田卓也氏

　三井物産株式会社は7日、Webアプリケーションの構築をサポートする「Webアプリケーション検査サービス」を提供開始すると発表した。これは既存のツールに依存した検査サービスと異なり、主に人間が手作業によって丹念に検査を行なうもの。価格は300万円からとなっており、今後一年間で30社への提供を目指すという。

　「Webアプリケーション検査サービス」は、三井物産のネットワーク・セキュリティーサービス部門であるGTIプロジェクトセンタが提供するサービス。CGIなどWebアプリケーションを独自開発している企業は、それぞれWebの設計や構造が異なるため、ツールを用いた一辺倒の検査では検査が不十分であり、よりセキュアなサービスを提供するためには、経験のある人間が主に手作業で検査を行なう必要があるという。

　具体的にクロスサイトスクリプティングやバッファオーバーフローなどのWebサービスを対象とした攻撃は、特定のWebサービス脆弱性を狙った攻撃であるため、通常のWebアクセスと同様に80番ポートを通過することが多い。従って、ファイアウォール等では不正侵入との区別がつきにくく、結果としてWebサービスへの攻撃を許してしまい、顧客データの流出や金額を改ざんして安い値段で買い物をする“電子万引き”等が行なわれる可能性がある。

　三井物産GTIプロジェクトセンタのジェネラルマネージャ岡田卓也氏は「Webアプリケーションとは、そもそも万人が利用できなければならないという使命があるが、反面、万人がアクセスできるという脆弱性を含んでいる。つまり、万人が攻撃も可能だということだ。今回のサービスでは、人間が実際に使われている“ホンマモン”の攻撃を手作業で試してみるなど、ツールではカバーしきれない部分を調査するものだ。従って、期間も3～4週間必要とし、価格も高めの設定となっている」と語った。

　また、GTIプロジェクトセンタでは「Webアプリケーション検査サービス」のほかに、Webアプリケーション開発者やセキュリティー担当者向けのトレーニングサービス「技術トレーニングサービス」の提供も開始する。これは、セキュリティーに関する正しい知識を認識することで回避できる脆弱性が多くあることから、それを教育するためのサービスだ。このサービスの一環として実施される「セキュアWebアプリケーションの設計・構築」では、二日間のコースで24万8,000円となっている。

　岡田氏によると「このようなセキュリティー検査サービスでは『何をやったのか分からない』という、ユーザーの声が多い、当社ではこのような教育サービスで具体的にどのように検査するかや、対策方法を教えていく。この中で、実際に肌に触れることによって当社が『検査で何を行なうのか』や、当社の技術レベルを知って欲しい」とのこと。

Webアプリケーションへの攻撃例のイメージ図	脆弱性の種類とアプリケーションとの関連性
「Webアプリケーション検査サービス」のサービスの流れ	ツールによる検査とGTI検査の比較

(2002/10/7)

[Reported by otsu-j@impress.co.jp]