- 総合情報サイト
- IT製品比較ナビ
|
|
|
|
| |
||||||||||||
2011/11/15
|
大手オンラインゲームサービスや製造業などを狙った「サイバー攻撃」がこのところ社会不安を煽っている。その攻撃には複数の手口が使われているが、代表的な手口はソフトウェアの脆弱性を狙うものだ。脆弱性の有無は、被害発生前にユーザ自身で気づくことはほとんどない。パッケージ製品ならばベンダからの脆弱性情報と対策とがほぼ一緒に提供されるので、発表情報に気をつけていれば対処できる。しかし、自前で作ったWebアプリケーションに潜む脆弱性は、被害にあう前には気がつきにくい。とはいえ、攻撃によく利用されるWebアプリケーションの作り方についてはわかっている。これから作るアプリケーションでそうした危険を呼び込む実装をしないことがまずは奨められる。また、もし脆弱性があっても回避可能にするための対策として、WAF(Webアプリケーションファイアウォール)を適切に利用することも有効だ。 |
|
|
なくならないWebアプリケーションの脆弱性とそれを狙う攻撃
Webページで何かを入力をして、Webサーバで処理をし、その結果を受け取る。それが行えるのは、Webサイト内でWebアプリケーションが稼働しているからだ。Webアプリケーションは、たいていの場合、サイトを運営している組織が独自に開発したものだ。ソフトウェア開発の経験が豊富なソフトウェアメーカーの製品でさえ、絶えず脆弱性が発見されているのに、独自開発したWebアプリケーションに脆弱性がまったくないと断言できる企業はまれだろう。
実際に、Webアプリケーションの脆弱性は毎年いくつも発見されており、主に利用者や技術者から、IPAなどへの届出となって表に出ている。IPAでは2004年7 月から経済産業省の告示に基づき、国内の脆弱性関連情報の届出を受け付けており、この9月までに脆弱性関連情報は6891件寄せられている。そのうち5642件がWebサイトに関するものだ。図1の届出件数の推移(図1-1)とWebサイトの脆弱性関連情報5642件のうち、不受理のものを除いた5487件の種類別(図1-2)を見ていただきたい。内訳としては、近年頻繁に報道されているSQLインジェクションと、クロスサイト・スクリプティングの届出数が特に多く、この2種類の脆弱性で全体の6割を数えている(DNS情報の設定不備は2009年第4四半期以降に届出がない)。
図1 脆弱性関連情報の届出件数の推移とその内訳 |
||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||
こうした脆弱性を狙った攻撃では、多数の顧客情報などの機密情報が窃取されて巨額な対応コストがかかった事例が多数あり、またWebサイトの利用者のほうにPCのウイルス感染やそれにともなう業務停止、初期化などにともなう情報喪失などの重大な被害をもたらした例もある。
自社のWebアプリケーションの脆弱性が原因で被害に遭うのは自社だけとは限らない。脆弱性をなくすことは企業ブランドを守り、顧客を守ることだと胆に銘じ、十分な対策を講じておくべきだ。
| 1-1 | |
チェックが必要な9つの脆弱性 |
|---|
上図には表れていない脆弱性の種類も含めて、これまでIPAへの届出件数が多い、または攻撃による影響度の大きい脆弱性にはおよそ9種類がある。IPAではそれらを脆弱性の深刻度や攻撃による影響を考慮して、次のように順番をつけている。
|
なお、これらの脆弱性は、対策の優先順ではないことに注意していただきたい。それぞれのWebアプリケーションの特性や条件に合わせて脆弱性への対策をとる必要がある。
それぞれの脆弱性のあらましと対策について、IPAが「安全なウェブサイトの作り方(改訂第5版)(PDF)」にまとめている。本記事では、特に攻撃例が多く、被害や影響が深刻なSQLインジェクションとクロスサイト・スクリプティングについて以下にあらましを紹介するが、詳しくはこの資料を参照するとよい。また同資料には脆弱性対策をコンパクトにまとめた「ウェブアプリケーションのセキュリティ実装チェックリスト(エクセルファイル)」が掲載されている。その内容を以下に引用するので、参考にしてほしい。
表1 セキュリティ実装 チェックリスト(1) |
||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||
表2 セキュリティ実装 チェックリスト(2) |
||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||
「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。
「Webアプリ/Webアプリから脆弱性をなくすコツは?」関連の情報を、チョイスしてお届けします
※キーマンズネット内の「Webアプリ」関連情報をランダムに表示しています。
「Webアプリ」関連の製品
IBM Content Analytics with Enterprise Search 【日本アイ・ビー・エム】
uCosminexus Navigation Platform(業務ポータル) 【日立製作所】
「セキュリティ」関連 製品レポート一覧
 |
 |
|
|
|
|
この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。
30004387
 |
|
ようこそゲストさん |
会員登録すれば豊富な製品レポートが読める!便利機能が使える!企業向けIT製品選定はキーマンズネット
Webアプリ
関連情報
 |
LB メディアロック3 【ライフボート】 |
|
…ソフトウェア |
|
|
USB HardLocker 4 【ライフボート】 |
|
…ソフトウェア |
|
|
LB ファイルロック 2 【ライフボート】 |
|
…ソフトウェア |
|
|
LB パソコンロック4 【ライフボート】 |
|
…ソフトウェア |
|
|
LB USBロック 【ライフボート】 |
|
…ソフトウェア |
|
|
LB デリート ワークス9 【ライフボート】 |
|
…ソフトウェア |
|
|
【事例】日本ATM 社内OAシステムを全面クラウド化 【インターネットイニシアティブ / 日本マイクロソフト】 |
|
IT資産管理ソフト【System Support best1(SS1)】 【ディー・オー・エス】 |
|
…ソフトウェア |
|
|
|
|
サイバー攻撃で重要な「いち早い検知」 【EMCジャパン】 |
|
|
|
