この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

Webアプリから脆弱性をなくすコツは?

2011/11/15


 大手オンラインゲームサービスや製造業などを狙った「サイバー攻撃」がこのところ社会不安を煽っている。その攻撃には複数の手口が使われているが、代表的な手口はソフトウェアの脆弱性を狙うものだ。脆弱性の有無は、被害発生前にユーザ自身で気づくことはほとんどない。パッケージ製品ならばベンダからの脆弱性情報と対策とがほぼ一緒に提供されるので、発表情報に気をつけていれば対処できる。しかし、自前で作ったWebアプリケーションに潜む脆弱性は、被害にあう前には気がつきにくい。とはいえ、攻撃によく利用されるWebアプリケーションの作り方についてはわかっている。これから作るアプリケーションでそうした危険を呼び込む実装をしないことがまずは奨められる。また、もし脆弱性があっても回避可能にするための対策として、WAF(Webアプリケーションファイアウォール)を適切に利用することも有効だ。

Webアプリ

なくならないWebアプリケーションの脆弱性とそれを狙う攻撃

 Webページで何かを入力をして、Webサーバで処理をし、その結果を受け取る。それが行えるのは、Webサイト内でWebアプリケーションが稼働しているからだ。Webアプリケーションは、たいていの場合、サイトを運営している組織が独自に開発したものだ。ソフトウェア開発の経験が豊富なソフトウェアメーカーの製品でさえ、絶えず脆弱性が発見されているのに、独自開発したWebアプリケーションに脆弱性がまったくないと断言できる企業はまれだろう。
 実際に、Webアプリケーションの脆弱性は毎年いくつも発見されており、主に利用者や技術者から、IPAなどへの届出となって表に出ている。IPAでは2004年7 月から経済産業省の告示に基づき、国内の脆弱性関連情報の届出を受け付けており、この9月までに脆弱性関連情報は6891件寄せられている。そのうち5642件がWebサイトに関するものだ。図1の届出件数の推移(図1-1)とWebサイトの脆弱性関連情報5642件のうち、不受理のものを除いた5487件の種類別(図1-2)を見ていただきたい。内訳としては、近年頻繁に報道されているSQLインジェクションと、クロスサイト・スクリプティングの届出数が特に多く、この2種類の脆弱性で全体の6割を数えている(DNS情報の設定不備は2009年第4四半期以降に届出がない)。

図1 脆弱性関連情報の届出件数の推移とその内訳
図1 脆弱性関連情報の届出件数の推移とその内訳
出典:IPA「ソフトウェア等の脆弱性関連情報に関する届出状況 [2011年第3四半期(7月〜9月]」
資料提供:IPA

 こうした脆弱性を狙った攻撃では、多数の顧客情報などの機密情報が窃取されて巨額な対応コストがかかった事例が多数あり、またWebサイトの利用者のほうにPCのウイルス感染やそれにともなう業務停止、初期化などにともなう情報喪失などの重大な被害をもたらした例もある。
 自社のWebアプリケーションの脆弱性が原因で被害に遭うのは自社だけとは限らない。脆弱性をなくすことは企業ブランドを守り、顧客を守ることだと胆に銘じ、十分な対策を講じておくべきだ。


1

Webアプリケーションの脆弱性はなくせるのか?

1-1

チェックが必要な9つの脆弱性

 上図には表れていない脆弱性の種類も含めて、これまでIPAへの届出件数が多い、または攻撃による影響度の大きい脆弱性にはおよそ9種類がある。IPAではそれらを脆弱性の深刻度や攻撃による影響を考慮して、次のように順番をつけている。

SQLインジェクション

OSコマンドインジェクション

パス名パラメータの未チェック/ディレクトリトラバーサル

セッション管理の不備

クロスサイト・スクリプティング

CSRF(クロスサイトリクエストフォージェリ)

HTTPヘッダインジェクション

メールヘッダインジェクション

アクセス制御や認可制御の欠落

 なお、これらの脆弱性は、対策の優先順ではないことに注意していただきたい。それぞれのWebアプリケーションの特性や条件に合わせて脆弱性への対策をとる必要がある。
 それぞれの脆弱性のあらましと対策について、IPAが「安全なウェブサイトの作り方(改訂第5版)(PDF)」にまとめている。本記事では、特に攻撃例が多く、被害や影響が深刻なSQLインジェクションとクロスサイト・スクリプティングについて以下にあらましを紹介するが、詳しくはこの資料を参照するとよい。また同資料には脆弱性対策をコンパクトにまとめた「ウェブアプリケーションのセキュリティ実装チェックリスト(エクセルファイル)」が掲載されている。その内容を以下に引用するので、参考にしてほしい。

表1 セキュリティ実装 チェックリスト(1)
表1 セキュリティ実装 チェックリスト(1)
※このチェック項目の「対応済」のチェックは、実施項目のいずれかを実施した場合にチェックする。
資料提供:IPA

+拡大

表2 セキュリティ実装 チェックリスト(2)
表2 セキュリティ実装 チェックリスト(2)
※このチェック項目の「対応済」のチェックは、実施項目のいずれかを実施した場合にチェックする。
資料提供:IPA

+拡大


セキュリティ情報局にご登録頂いた方限定で「Webアプリから脆弱性をなくすコツは?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

Webアプリ/Webアプリから脆弱性をなくすコツは?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「Webアプリ」関連情報をランダムに表示しています。

Webアプリ」関連の製品

超高速開発ツール「Web Performer」 【サンテック】 Barracuda Web Application Firewall 【バラクーダネットワークスジャパン】 LINEの兄弟会社が開発したビジネス版LINE「Works Mobile」 【ワークスモバイルジャパン】
開発ツール WAF グループウェア
ノンプログラミングでWebアプリケーションを自動生成するマルチブラウザ対応の超高速開発ツール。Javaの知識不要で、基本設計情報を定義するだけでシステムを開発できる。 ファイアウォールやIDS/IPSで保護できない、Webサイトへの外部からの不正アクセスを防御。SQLインジェクションやXSSなどによる顧客情報流出やWebサービス停止を確実に防止 仕事のやりとりで、「すぐに返事がもらえない」「うまく伝わらない」といったモヤモヤを感じたことはないだろうか? 「Works Mobile」がその解決策になるかもしれない。

Webアプリ」関連の特集


昨年の「内部関係者」による国内最大規模の情報漏洩事件はまだ記憶に新しいはず。ログ管理で不正行為を検知…



ワークスタイル変革にはクライアント環境の再構築が不可欠だが、目的や企業環境といった様々な要素を踏まえ…



本格普及の一歩手前にあると言われるSOA。SIer/ベンダの最新動向や、クラウド系サービスとの関連に…


Webアプリ」関連のセミナー

PHP入門講座(エパノ プログラミング スクール) 【エパノ プログラミング スクール】  

開催日 1月18日(水)   開催地 東京都   参加費 有料 2万円(税込)

PHP言語の変数・制御文・メソッド呼び出しなどの基礎的内容から、フォームから送信されるパラメータの利用、データベースアクセスの基礎(PDO)、セッション管理の概…

今なぜPythonなのか? 【グローバルナレッジネットワーク】  

開催日 1月13日(金)   開催地 東京都   参加費 無料

Python (パイソン)は、オブジェクト指向スクリプト言語です。PerlやRubyと比べると、日本ではあまり知られていませんが、GoogleやFacebook…

システム自動構築を実現する新たなクラウドサービス「SF」 【富士通】  

開催日 2月8日(水)   開催地 東京都   参加費 無料

本セミナーでは、K5 PaaSのシステム自動構築サービス「SF」を用いたシステム自動構築の一連の流れを、お1人様1台の実機にて、操作体験いただきます。簡単なWe…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004387


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ