この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

Webアプリから脆弱性をなくすコツは?

2011/11/15


 大手オンラインゲームサービスや製造業などを狙った「サイバー攻撃」がこのところ社会不安を煽っている。その攻撃には複数の手口が使われているが、代表的な手口はソフトウェアの脆弱性を狙うものだ。脆弱性の有無は、被害発生前にユーザ自身で気づくことはほとんどない。パッケージ製品ならばベンダからの脆弱性情報と対策とがほぼ一緒に提供されるので、発表情報に気をつけていれば対処できる。しかし、自前で作ったWebアプリケーションに潜む脆弱性は、被害にあう前には気がつきにくい。とはいえ、攻撃によく利用されるWebアプリケーションの作り方についてはわかっている。これから作るアプリケーションでそうした危険を呼び込む実装をしないことがまずは奨められる。また、もし脆弱性があっても回避可能にするための対策として、WAF(Webアプリケーションファイアウォール)を適切に利用することも有効だ。

Webアプリ

なくならないWebアプリケーションの脆弱性とそれを狙う攻撃

 Webページで何かを入力をして、Webサーバで処理をし、その結果を受け取る。それが行えるのは、Webサイト内でWebアプリケーションが稼働しているからだ。Webアプリケーションは、たいていの場合、サイトを運営している組織が独自に開発したものだ。ソフトウェア開発の経験が豊富なソフトウェアメーカーの製品でさえ、絶えず脆弱性が発見されているのに、独自開発したWebアプリケーションに脆弱性がまったくないと断言できる企業はまれだろう。
 実際に、Webアプリケーションの脆弱性は毎年いくつも発見されており、主に利用者や技術者から、IPAなどへの届出となって表に出ている。IPAでは2004年7 月から経済産業省の告示に基づき、国内の脆弱性関連情報の届出を受け付けており、この9月までに脆弱性関連情報は6891件寄せられている。そのうち5642件がWebサイトに関するものだ。図1の届出件数の推移(図1-1)とWebサイトの脆弱性関連情報5642件のうち、不受理のものを除いた5487件の種類別(図1-2)を見ていただきたい。内訳としては、近年頻繁に報道されているSQLインジェクションと、クロスサイト・スクリプティングの届出数が特に多く、この2種類の脆弱性で全体の6割を数えている(DNS情報の設定不備は2009年第4四半期以降に届出がない)。

図1 脆弱性関連情報の届出件数の推移とその内訳
図1 脆弱性関連情報の届出件数の推移とその内訳
出典:IPA「ソフトウェア等の脆弱性関連情報に関する届出状況 [2011年第3四半期(7月〜9月]」
資料提供:IPA

 こうした脆弱性を狙った攻撃では、多数の顧客情報などの機密情報が窃取されて巨額な対応コストがかかった事例が多数あり、またWebサイトの利用者のほうにPCのウイルス感染やそれにともなう業務停止、初期化などにともなう情報喪失などの重大な被害をもたらした例もある。
 自社のWebアプリケーションの脆弱性が原因で被害に遭うのは自社だけとは限らない。脆弱性をなくすことは企業ブランドを守り、顧客を守ることだと胆に銘じ、十分な対策を講じておくべきだ。


1

Webアプリケーションの脆弱性はなくせるのか?

1-1

チェックが必要な9つの脆弱性

 上図には表れていない脆弱性の種類も含めて、これまでIPAへの届出件数が多い、または攻撃による影響度の大きい脆弱性にはおよそ9種類がある。IPAではそれらを脆弱性の深刻度や攻撃による影響を考慮して、次のように順番をつけている。

SQLインジェクション

OSコマンドインジェクション

パス名パラメータの未チェック/ディレクトリトラバーサル

セッション管理の不備

クロスサイト・スクリプティング

CSRF(クロスサイトリクエストフォージェリ)

HTTPヘッダインジェクション

メールヘッダインジェクション

アクセス制御や認可制御の欠落

 なお、これらの脆弱性は、対策の優先順ではないことに注意していただきたい。それぞれのWebアプリケーションの特性や条件に合わせて脆弱性への対策をとる必要がある。
 それぞれの脆弱性のあらましと対策について、IPAが「安全なウェブサイトの作り方(改訂第5版)(PDF)」にまとめている。本記事では、特に攻撃例が多く、被害や影響が深刻なSQLインジェクションとクロスサイト・スクリプティングについて以下にあらましを紹介するが、詳しくはこの資料を参照するとよい。また同資料には脆弱性対策をコンパクトにまとめた「ウェブアプリケーションのセキュリティ実装チェックリスト(エクセルファイル)」が掲載されている。その内容を以下に引用するので、参考にしてほしい。

表1 セキュリティ実装 チェックリスト(1)
表1 セキュリティ実装 チェックリスト(1)
※このチェック項目の「対応済」のチェックは、実施項目のいずれかを実施した場合にチェックする。
資料提供:IPA

+拡大

表2 セキュリティ実装 チェックリスト(2)
表2 セキュリティ実装 チェックリスト(2)
※このチェック項目の「対応済」のチェックは、実施項目のいずれかを実施した場合にチェックする。
資料提供:IPA

+拡大


セキュリティ情報局にご登録頂いた方限定で「Webアプリから脆弱性をなくすコツは?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

Webアプリ/Webアプリから脆弱性をなくすコツは?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「Webアプリ」関連情報をランダムに表示しています。

Webアプリ」関連の製品

InterSafe MobileSecurity 【アルプス システム インテグレーション】 CPI マネージド専用サーバー 【KDDI ウェブコミュニケーションズ】 NIFTY Cloud/ニフティクラウド(パブリック型クラウドサービス) 【ニフティ】
フィルタリング ハウジング IaaS/PaaS
Web閲覧やアプリ利用、社内アクセスまで一括制御できる、専用アプリ不要のスマートデバイス向け統合セキュリティサービス。Safariがそのまま使え既存システムに影響なし。 サーバー機能をパッケージ化したサービス。運用・管理のすべてをKDDIウェブコミュニケーションズに一任できる。回線帯域は最大1Gbpsとなり、高負荷環境にも余裕で対応。 国内最大級!4,500件以上の導入実績を誇るパブリッククラウド
◆卓越したパフォーマンスと信頼性・柔軟性
◆24h/365日対応の電話サポート
◆使いやすいコントロールパネル

Webアプリ」関連の特集


紙の帳票はどれくらい使われている? データ化したいと思っている? 企業内の帳票文化のリアルを紹介しま…



 DDoS攻撃(Distributed Denial of Service Attack分散サービス…



後を絶たない情報漏洩事件。策は講じているのに、なぜ脆弱性は残るのか?その理由とセキュリティ診断の受診…


Webアプリ」関連のセミナー

北海道初開催!〜『超高速開発ツール』徹底解説セミナー〜 【主催:アシスト 共催:キヤノンITソリューションズ】  

開催日 4月21日(金)   開催地 北海道   参加費 無料

ルールエンジン+プログラミング自動化ツールで実装する『高品質』『工期短縮』『楽々メンテナンス』のシステム開発「超高速開発ソリューション」の真の価値は、初期開発ス…

【SER-2】Ranorexハンズオンセミナー 【テクマトリックス】  

開催日 4月24日(月)   開催地 東京都   参加費 無料

サンプルWebアプリケーションのテストを中心に、Ranorexによる機能テストの方法をハンズオン形式で学びます。セミナーを通して、Ranorexの基本機能と操作…

【SER-2】Ranorexハンズオンセミナー 【テクマトリックス】  

開催日 4月3日(月)   開催地 東京都   参加費 無料

サンプルWebアプリケーションのテストを中心に、Ranorexによる機能テストの方法をハンズオン形式で学びます。セミナーを通して、Ranorexの基本機能と操作…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004387


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ