Web担のセキュリティ診断を受けてみた
株式会社ラックさんの「Webセキュリティ診断サービス・初診コース」を受けてみました。セキュリティ診断が気になる人に、どんな風に診断がされるのか、その流れをレポートしてみます。今回も長めのコラムですいません。
※今回Web担で受けたセキュリティ診断を、3月27日の「第3回Web担オフ会」に参加された方のなかから抽選で3名様にプレゼントします(報告会オプションを希望される場合は実費)。
→ http://web-tan.forum.impressrd.jp/q/200903offmeeting
ラックさんが運営しているセキュリティ監視センターが発表した観測レポートによると、2008年は「SQLインジェクション」という手口による攻撃が非常に増加したとのこと。SQLインジェクションは某価格比較サイトもやられた手口で、これにやられると、Webサイトで利用しているデータベースから情報を引き出されてしまうもの。場合によっては大規模な個人情報の漏洩などにつながってしまいます。
サイトで使っているCMSやフォームなどのシステムが、攻撃されても大丈夫な作りになっていれば、被害を被ることはないのですが、意外と穴が残っていたりするものなのです。Web担でも登録ユーザーなどの個人情報がデータベースに保存されているため、セキュリティ診断を受診してみました。
診断の流れ
今回受けたセキュリティ診断は「初診コース」という、1ドメイン名10URLまで診断してもらい、レポートを受け取るもの。申し込みから診断、結果の送付まで、基本的にオンラインでのやりとりで済みますが、今回は、結果の解説もしてもらえる報告会オプション込みでお願いしました(お値段は、報告会なしなら6万3,000円、報告会ありなら9万8,000円)。
まずは申し込み。ラックさんのサイトから見積もりをダウンロードして社内の決裁を得たら、診断してほしいサイトのURLと診断希望日などの情報を専用の申し込みフォーム(問診票)に入力します。問診票を送信すると、そのまま自社用の請求書が表示されますので、それを印刷して支払いを完了します(アマゾンで購入する場合は問診票を入力してから購入)。
次に実際の診断。支払いが完了すると、指定した診断希望日時に、ラックさん側の担当者さんがセキュリティ診断を行います。この際に、擬似的に外部からセキュリティ攻撃がされる形となり、申し込みフォームなどが送信されますので、情シスの人やフォームの送信結果を受け取る人に連絡しておかないと大騒ぎになってしまいます(まぁ、診断で発生する擬似的な攻撃が原因でデータベースが壊れるようなことはないはずですが)。
チェック対象は、フォームやスクリプトが動作している部分。問診票でサイトのURLだけ伝えておけばラックさんのほうでポイントを見つけてチェックしてくれますが、今回はあらかじめチェック対象を伝えておきました。
そして結果報告。診断が終了すると、まもなくメールで診断結果報告書のPDFが届きます。この報告書の印刷されたバージョンが、報告会がある場合は報告会の際に、報告会を頼んでいなければ後日郵送で、手元に届きます。
Web担の場合、深夜に「明日以降のいつでも診断お願いします」と送信したところ、翌日少し遅めの昼過ぎに出社するとすでに診断が終了していて、その日の夜には診断書がメールで届きました。早い!
報告書と報告会
結論としては、Web担のサイトでは、SQLインジェクションのような、すぐに情報を抜き出したりされるような脆弱性は見つかりませんでした。ただ1か所、XSS(クロスサイトスクリプティング)の対処が漏れている部分がありました。
報告書には、診断結果と、診断項目に関する解説や対策方法の概要などが書かれているため、エンジニアが読めばどう修正すればいいかわかる内容になっています(レポートを見て修正方法が見えないエンジニアはヤバいです)。
報告書の内容に従って内部や取引先の開発者に対応を依頼するのが筋ですが、場合によってはラックさんに対応をお願いすることも可能とのこと。また、完了後のタイミングで改めてセキュリティ診断を依頼することも可能とのこと(「初診」じゃなくても大丈夫)。
今回は報告会までお願いしたのですが、報告会はインプレスの会議室で1時間程度。診断結果に関する簡単な解説と、対処方法の概要や昨今のセキュリティ事情を説明していただきました。
ラックさんによると、XSSを利用した大規模なセキュリティ事故は発生していないため、重要なぜい弱性かどうかに関しては議論があるとのこと。ぜい弱性を突く形でデータを含ませたリンクをメールや掲示板などでクリックさせるワンクッションが必要な場合はなおさらで、今回Web担で発見されたものも、そういった類の問題。
とはいえ、だれかが結果として問題のあるURLにアクセスさせられる可能性はゼロではありませんし、そうでなくても第三者がブログで「このサイトにセキュリティの穴がある」と書いてしまうような形での風評被害が考えられるため、有名サイトやメールマガジンの購読者数が多い媒体などではしっかりと対策しておいたほうがいいとのこと。
今回XSSのぜい弱性が発見されたのは海外のオープンソースソフトウェアだったため、ラックさんのアドバイスに従って、IPA(独立行政法人 情報処理推進機構)に届出をしました。
Web担当者のセキュリティ認識、どうあるべきか?
ラックさんによると、この「Webセキュリティ診断サービス・初診コース」は、主に、インターネット側から目にとまるもの、悪意をもった人間が狙いやすいところにフォーカスするもの。
サイトのすべてをチェックしたわけではない点には注意が必要だとのこと。
Webアプリケーションのぜい弱性チェックというと、以前は外部からフォームに対して逐一のチェックを依頼することが多かったのですが、それだと費用が高くなりがち。しかし最近は、開発中に(ソースコードの時点で)チェックするよう開発ベンダーに義務づけるか、セキュリティ企業などに検査させる形が多く、そのほうがコストは安いとのこと。そしてシステムができたら、ソースではわからない点などをリリース前に外部から検査するのだといいます。
とはいえ、ウェブの場合はいろいろと時間の制約が厳しい場合も多いし、リリース後にシステムがどんどん改修されていくものなので、Webアプリケーション用のファイアウォール(WAF)を採用するのもいい手段だということ。WAFを使うと、自動化スクリプトによる攻撃や、検索エンジンでターゲットを探して攻撃してくるような「通りすがりの攻撃」でかなり対応できるのだそうです。
WAFというと専用のハードウェアですが、200万を切る価格のものもあるし、データセンターで共用のWAFを提供している場合もあります。ただし、WAFではサイトをねらい打ちにした攻撃には対応できないということなので、セキュリティ診断やソースコード検査がまったく不要になるわけではありません。
とはいえサイトの立ち上げ時にはセキュリティにまで目が向かないことも多いのが現実。なので、サイトオープン後に少し動きが落ち着いて、サイトに人気が出始めたころに、セキュリティ診断の初診を受けて、その結果によって対応の方向性を考えるのがいいとのこと。
今やどんなサイトでもSEOはするでしょう。しかし、検索エンジンで上位に来れば、犯人に見つかりやすくなるもの。SEOを効かせるならば、セキュリティにも目を向けておいたほうがいいのかもしれませんね。
※情報開示:今回のセキュリティ診断は、ラックさんのご厚意でご提供いただいたものです。
ちなみに、この診断はアマゾンから申し込むことも可能。その場合、クレジットカードで申し込めばすぐに決済されるため迅速に診断結果を受け取ることが可能。しかも診断は5万円、報告会込みでも8万5,000円とお安くなります。
- 2008年12月にはSQLインジェクションの攻撃が1500万件
→ http://web-tan.forum.impressrd.jp/n/2009/03/18/5228 - Webセキュリティ診断サービス・初診コース
→ http://www.lac.co.jp/jsoc/pentest/1st-websecurity.html
→ http://www.amazon.co.jp/dp/B001T97SZQ/webtan-22?ref=nosim (アマゾンから申し込み可能)
※しつこいですが、今回Web担で受けたセキュリティ診断を、3月27日のWeb担オフ会に参加された方に抽選でプレゼントします。つまり何が言いたいかというと……オフ会、いかがでしょうか?
→ http://web-tan.forum.impressrd.jp/q/200903offmeeting
この記事は、メールマガジン「Web担ウィークリー」やINTERNET Watchの「週刊 Web担当者フォーラム通信」に掲載されたコラムをWeb担サイト 上に再掲したものです。
コメント
広告?
本記事は有料の広告ですか?バーターですか?
編集記事です
記事内にも明記しているようにチェックのサービスはらご提供いただきましたが、この記事は編集記事ですよ。サービスを提供いただいて記事化する企画は編集部から依頼したものです。
ちなみに、Web担では、記事広告の場合は必ずそれがわかるように示していますし、サービスなどをご提供いただいた場合も、その旨明記していますよ。