Web担当者の不安を解消する!Webアプリケーションの脆弱性対策とは?
Web担当者の不安を解消する!
Webアプリケーションの脆弱性対策とは?
京セラコミュニケーションシステム
http://www.kccs.co.jp/
クロスサイトスクリプティングやSQLインジェクションなど、拡大するWebアプリケーション脆弱性への攻撃は、情報漏えいなど企業に大きなダメージを与える危険をはらんでいる。ファイアウォールをはじめとする従来のセキュリティ対策では防ぎきれないこの脅威に対し、京セラコミュニケーションシステムは高い技術力と豊富な経験で、Web脆弱性診断とガイドライン作成を提供する。
危険度の増すWebアプリケーションの脆弱性攻撃
Web担当者の不安
Payment Card Industry Data Security Standard:クレジットカード業界で定められ、他業界でも適用する企業が増えている情報セキュリティの基準。
個人情報保護や事業継続、PCI DSSなどに関しての法・規格整備や認知の進展にともなって、多くのWeb担当者に要求されるセキュリティ対策の負荷は増大している。一方、ネット上の脅威も数・バリエーションともに増加の一途をたどっている。
特にこの1~2年はWebアプリケーションの脆弱性をターゲットとした悪意ある攻撃が急増している。最近の脅威の傾向としては、企業サイトからひそかに情報を盗むことを目的とした悪質なものが多く、このため実際に攻撃にあっていてもそれに気づいていないサイトの数は計り知れない。
しかし、こういった攻撃手法に不安は感じていても、具体的にどうすればいいかわからないWeb担当者は少なくない。だが、これらの攻撃で重要情報を盗み出されたときに受けるダメージ・損失は、場合によっては企業存続の危機にさえ発展しかねないのだ。
そうしたWeb担当者の悩みに応える、Web脆弱性対策のサービスを提供しているのが、京セラコミュニケーションシステム(以下、KCCS)だ。
「私たちは年間100以上の企業Web担当者の方から脆弱性診断のご相談をいただいております。昨今、企業の危機意識は高まっており、以前は公開しているサイトの脆弱性を調べる案件が多かったのですが、最近はサイトの公開前に脆弱性を調べるケースも増えてきました」
と、プロダクトサービス事業本部セキュリティ事業部長の桑原貴志氏は最近の傾向を解説する。
ユーザー負担が少なく柔軟性の高い
脆弱性診断サービス
Web脆弱性の危険は認識していても、どんな対策がどの程度必要か判断できない担当者は多い。また、費用対効果が見えにくいため予算化も難しい。KCCSの脆弱性診断は過去500サイト以上の診断経験を元に、事前準備とヒアリングに時間をかけ、ユーザーのサイト特性に応じ最適化された診断プランを提案してくれる。こうしたさまざまなプランは、期間的にもコスト的にもユーザーの負担を軽くすると評価が高い。
診断は、プランに応じて、トレーニングを積んだ診断員が50項目以上のレギュレーションに沿った検査を行い、脆弱性が発見された場合には脆弱性のダブルチェックを行う。その結果を元に、対策も含めた報告書が作成される。
診断の期間は、標準的な「Standard Plan」の場合、動的ページ20ページの診断ならおよそ2週間ほどで可能だ。
Web担当者が主導し、
脆弱性は、作りこむ前に取り除くことが大切!
同社ではPCサイトとの連携も含めてニーズが増加しているモバイルサイトの脆弱性診断も多数手がけている。モバイルサイトに対する攻撃手法はあまり世の中に公表されていないが、同社ではキャリア向けアプリケーションの開発などを手がけている経験をもとにしており、この分野でのノウハウは特に豊富だ。また、数百、数千ページ規模で、数十のサイトと連携している大型サイトの診断経験もある。
最近はWeb脆弱性対策としてWAF(Web Application Firewall)を導入する企業も出てきているが、WAFは100%の安全性を確保するものではないし、チューニングも必要になる。
「一番精度が高いのは人間の手作業によるマニュアル診断です。WAFを導入しているユーザーから検査を依頼されて、WAFの内側にも脆弱性が見つかった経験もあります」
(桑原氏)
KCCSへの依頼は単発の脆弱性検査はもちろん、年間契約でWebの強度変化の診断や、脆弱性についての社員教育など幅広い。また、大規模なシステムを作成する際にその一部の脆弱性検査を行い、製品リリースの判断基準のひとつにするなど意識の高いユーザーも増えてきている。
こうしたニーズを踏まえて、KCCSでは定期的な脆弱性診断と、さらにそこから一歩進めたガイドラインによる防御を勧めている。
「開発工程のひとつとしてプログラムができあがったときに脆弱性を調べるのではなく、先に開発のガイドラインを設け、作りこむ前に脆弱性をいかに取り除くかという対策が必要です」
とセキュリティ事業部アセスメント課の徳江崇宏氏は説明する。
Webの脆弱性対策は、技術的な問題として制作会社や開発会社にまかせきりというケースも多かった。しかし、キャンペーンサイトやECサイトなど複数のサイトはそれぞれ異なる制作会社や開発会社に発注するケースが大半で、制作者や開発者の工程やスキルの違いによっても脆弱性は生じ、対策も異なってくる。そこで、発注者であるWeb担当者主導のもと、サイトの仕様に合わせた対策を洗い出し、使用しないほうがいいタグやWebの作成上の注意点をガイドラインとして策定しておくことで、統一したセキュリティポリシーのもと、サイトごとに生じる脆弱性を未然に防ぐことができるのだ。
たとえば、発注したサイトができあがってきたときに、それがガイドラインに準拠して作られているかチェックすることで、Web担当者は自社のサイトのセキュリティレベルを確認できる。
そして、日々増加する新たな危険性に対し、定期的な診断を行って対処するPDCAサイクルを確立し継続していくことが、危険を取り除き、結果的にコストを抑える重要な方法になるだろう。
「今後は脆弱性対策のために予算を取るという形ではなく、サイトを新規に立ち上げるときにセキュリティ予算を立て、年に何回か行う診断などは運用費として考えていく必要が高まってくるでしょう。そうしないと、継続的な脆弱性対策は難しい。安全にサイトを構築して公開し、その後も診断をしていくことで、情報漏えいなどビジネスの継続に損害を及ぼす危険を避けることが可能になるのです」
(徳江氏)
設計の段階からセキュリティを意識し、危険因子を排除していくのがWeb脆弱性を解消するための早道だ。そのために、KCCSは力強いパートナーとなるだろう。
ホワイトペーパーダウンロード
「2007年版 Webアプリケーション脆弱性傾向」は、一般的なWebサイトが抱える脆弱性の傾向や脅威について明らかにすることを目的に、京セラコミュニケーションシステム(以下KCCS)が実際の診断結果をもとに分析・作成したものです。
本資料では、KCCSが2006年1月から12月までの1年間にWebアプリケーション脆弱性診断を実施したサイトより約100件を抽出し、それらの診断結果をもとに、PC向けサイト/ケータイ向けサイトの双方に対し、脆弱性の傾向やクロスサイト・スクリプティングなどの代表的な攻撃手法などについて解説しています。
本資料をお申し込み頂いた方には、現在作成中である最新の2009年版(2009年3月完成予定)も完成次第KCCSよりお送りさせて頂きます。
「Web健康診断」提供を開始
KCCSは2月26日、「Webアプリケーション脆弱性診断」よりも手軽にWebサイトの脆弱性の検査を行うサービス「Web健康診断」の提供を開始しました。
「Web健康診断」では、Webサイトの中で重要なページをピックアップし、独自開発のカスタムツールにより、自動で主要な脆弱性を半日程度で検査します。検査項目は、KCCSの診断実績から独自に体系化したもの。診断後1週間以内に報告書を提出します。
基本診断料:180,000円(税込)
ソーシャルもやってます!