この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

Webアプリから脆弱性をなくすコツは?

2011/11/15


 大手オンラインゲームサービスや製造業などを狙った「サイバー攻撃」がこのところ社会不安を煽っている。その攻撃には複数の手口が使われているが、代表的な手口はソフトウェアの脆弱性を狙うものだ。脆弱性の有無は、被害発生前にユーザ自身で気づくことはほとんどない。パッケージ製品ならばベンダからの脆弱性情報と対策とがほぼ一緒に提供されるので、発表情報に気をつけていれば対処できる。しかし、自前で作ったWebアプリケーションに潜む脆弱性は、被害にあう前には気がつきにくい。とはいえ、攻撃によく利用されるWebアプリケーションの作り方についてはわかっている。これから作るアプリケーションでそうした危険を呼び込む実装をしないことがまずは奨められる。また、もし脆弱性があっても回避可能にするための対策として、WAF(Webアプリケーションファイアウォール)を適切に利用することも有効だ。

Webアプリ

なくならないWebアプリケーションの脆弱性とそれを狙う攻撃

 Webページで何かを入力をして、Webサーバで処理をし、その結果を受け取る。それが行えるのは、Webサイト内でWebアプリケーションが稼働しているからだ。Webアプリケーションは、たいていの場合、サイトを運営している組織が独自に開発したものだ。ソフトウェア開発の経験が豊富なソフトウェアメーカーの製品でさえ、絶えず脆弱性が発見されているのに、独自開発したWebアプリケーションに脆弱性がまったくないと断言できる企業はまれだろう。
 実際に、Webアプリケーションの脆弱性は毎年いくつも発見されており、主に利用者や技術者から、IPAなどへの届出となって表に出ている。IPAでは2004年7 月から経済産業省の告示に基づき、国内の脆弱性関連情報の届出を受け付けており、この9月までに脆弱性関連情報は6891件寄せられている。そのうち5642件がWebサイトに関するものだ。図1の届出件数の推移(図1-1)とWebサイトの脆弱性関連情報5642件のうち、不受理のものを除いた5487件の種類別(図1-2)を見ていただきたい。内訳としては、近年頻繁に報道されているSQLインジェクションと、クロスサイト・スクリプティングの届出数が特に多く、この2種類の脆弱性で全体の6割を数えている(DNS情報の設定不備は2009年第4四半期以降に届出がない)。

図1 脆弱性関連情報の届出件数の推移とその内訳
図1 脆弱性関連情報の届出件数の推移とその内訳
出典:IPA「ソフトウェア等の脆弱性関連情報に関する届出状況 [2011年第3四半期(7月〜9月]」
資料提供:IPA

 こうした脆弱性を狙った攻撃では、多数の顧客情報などの機密情報が窃取されて巨額な対応コストがかかった事例が多数あり、またWebサイトの利用者のほうにPCのウイルス感染やそれにともなう業務停止、初期化などにともなう情報喪失などの重大な被害をもたらした例もある。
 自社のWebアプリケーションの脆弱性が原因で被害に遭うのは自社だけとは限らない。脆弱性をなくすことは企業ブランドを守り、顧客を守ることだと胆に銘じ、十分な対策を講じておくべきだ。


1

Webアプリケーションの脆弱性はなくせるのか?

1-1

チェックが必要な9つの脆弱性

 上図には表れていない脆弱性の種類も含めて、これまでIPAへの届出件数が多い、または攻撃による影響度の大きい脆弱性にはおよそ9種類がある。IPAではそれらを脆弱性の深刻度や攻撃による影響を考慮して、次のように順番をつけている。

SQLインジェクション

OSコマンドインジェクション

パス名パラメータの未チェック/ディレクトリトラバーサル

セッション管理の不備

クロスサイト・スクリプティング

CSRF(クロスサイトリクエストフォージェリ)

HTTPヘッダインジェクション

メールヘッダインジェクション

アクセス制御や認可制御の欠落

 なお、これらの脆弱性は、対策の優先順ではないことに注意していただきたい。それぞれのWebアプリケーションの特性や条件に合わせて脆弱性への対策をとる必要がある。
 それぞれの脆弱性のあらましと対策について、IPAが「安全なウェブサイトの作り方(改訂第5版)(PDF)」にまとめている。本記事では、特に攻撃例が多く、被害や影響が深刻なSQLインジェクションとクロスサイト・スクリプティングについて以下にあらましを紹介するが、詳しくはこの資料を参照するとよい。また同資料には脆弱性対策をコンパクトにまとめた「ウェブアプリケーションのセキュリティ実装チェックリスト(エクセルファイル)」が掲載されている。その内容を以下に引用するので、参考にしてほしい。

表1 セキュリティ実装 チェックリスト(1)
表1 セキュリティ実装 チェックリスト(1)
※このチェック項目の「対応済」のチェックは、実施項目のいずれかを実施した場合にチェックする。
資料提供:IPA

+拡大

表2 セキュリティ実装 チェックリスト(2)
表2 セキュリティ実装 チェックリスト(2)
※このチェック項目の「対応済」のチェックは、実施項目のいずれかを実施した場合にチェックする。
資料提供:IPA

+拡大


セキュリティ情報局にご登録頂いた方限定で「Webアプリから脆弱性をなくすコツは?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

Webアプリ/Webアプリから脆弱性をなくすコツは?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「Webアプリ」関連情報をランダムに表示しています。

Webアプリ」関連の製品

Webシステム ファイル持ち出し防止 「ファイルプロテクト for IIS」 【ハイパーギア】 業務用アプリ開発 【フェンリル】 ワークフローシステム構築ツール 『Web Plant』 【キヤノンITソリューションズ】
その他エンドポイントセキュリティ関連 その他スマートデバイス関連 ワークフロー
Windows Server OSでIISを利用したWebシステムに連携。ファイルはそのままでユーザがファイルを参照するタイミングに持ち出し禁止や印刷禁止のPDFをオンデマンド生成する。 企画・UI設計・実装までワンストップで対応する業務用アプリ開発サービス。企画の前段階で必要なUXデザインやHTML5を使ったWeb、アプリ開発、サーバー連携まで対応。 多機能なフォーム・複雑なフローを、GUIで簡単に開発可能なワークフロー構築ツール。柔軟なシステム連携を実現でき、自社ルールに合致したワークフローを構築可能。

Webアプリ」関連の特集


 セキュリティ担当者になった暁には、セキュリティポリシーを含めたルール作りにかかわる機会もでてくるは…



毎年進化する攻撃によって企業は脅威にさらされており、その対策に四苦八苦するケースも。そこで役立てたい…



携帯を企業の内線電話に使う「モバイルセントレックス」。今回は各社のモバイルセントレックスをまとめつつ…


Webアプリ」関連のセミナー

PHP入門講座(エパノ プログラミング スクール) 【エパノ プログラミング スクール】  

開催日 2月20日(月)   開催地 東京都   参加費 有料 2万円(税込)

PHP言語の変数・制御文・メソッド呼び出しなどの基礎的内容から、フォームから送信されるパラメータの利用、データベースアクセスの基礎(PDO)、セッション管理の概…

ビッグデータソリューションセミナー 【NTTデータ数理システム】  

開催日 1月18日(水),3月14日(火)   開催地 東京都   参加費 無料

このようなお悩みを抱えている方、是非ともご参加下さい!・自社のデータでビッグデータ分析ができるのか?とお悩みの方・既にExcelやデータベースでは、集計や簡単な…

PHP入門講座(エパノ プログラミング スクール) 【エパノ プログラミング スクール】  

開催日 1月18日(水)   開催地 東京都   参加費 有料 2万円(税込)

PHP言語の変数・制御文・メソッド呼び出しなどの基礎的内容から、フォームから送信されるパラメータの利用、データベースアクセスの基礎(PDO)、セッション管理の概…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004387


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ