Enterprise Watch
最新ニュース

Webサイトの「変更」と「改ざん」を見極める検知システム「WebS@T」に迫る


ネットワールド、営業本部 ソリューション営業グループ グループリーダーの宮崎聖崇氏
 Webサイトの改ざんが後を絶たない。最近ではWebサイトにアクセスしただけで、一般ユーザーのPCにウイルスが侵入するよう改ざんされた事例も発生し、Web管理者はなかなか気を抜くことができない。

 特に2008年は、SQLインジェクションによるWebサイト改ざん事件が年初から多発し、Webサイト管理者は十分な睡眠時間を取れているのだろうか、と心配になってくる状況だ。そんな管理者にとって、人体への副作用なしに安眠を誘ってくれる薬となりそうなのが、Web改ざん検知システムである。

 中でも、INTEROP TOKYO 2007の「Best of Show Award~情報セキュリティ製品部門~」でグランプリに輝いた「WebS@T」では、KDDI研究所と神戸大学の森井教授の共同研究により、正規の「更新」と悪意の「改ざん」を的確に見分けてアラートを出すことに成功したという。研究成果はKDDIによって製品化され、販売はネットワールドが行っている。そこでネットワールド、営業本部 ソリューション営業グループ グループリーダーの宮崎聖崇氏に製品の特長など詳細を聞いた。


動的ページの改ざんも検知できる

独自の構文解析により、変更と改ざんを見極める

動的ファイルも監視できる

改ざんを検知した様子
 そもそも、Web改ざん検知システムとはどういったものか。企業のWebサイトが改ざんされる事件は、何度もニュースで報道されているため、おそらく耳にしたことがあるであろう。Webサイトも人が作るもの、当然、バグが存在する。そのバグを悪用して、例えば、外部からの不正アクセスによりWebページの内容を勝手に変更されてしまったという事例が、古くからたくさん報告されている。あるいはバグなどを利用せずに正当な手順で、不正に改ざんされた例もあるかもしれない。

 企業のページが改ざんされてしまうと、改ざん内容によっては、企業イメージが大きく失墜してしまう。また、修正のためWebサーバーを一時的に停止することになれば、当然その間のビジネスチャンスを失うことになるし、フォレンジック(原因究明のためにデータを収集・分析すること)などの事後対応で特別損失を被ることにもなる。さらに、改ざんによってユーザーに迷惑がかかれば、訴訟、損害賠償といった事態にまで発展することも、ないとはいえない。

 Web改ざん検知システムは、こうした改ざんをいち早く検知するためのシステムだ。改ざんをリアルタイムに防ぐことはできないが、早急に検知することで、迅速な対応を可能にしてくれる。

 そうしたWeb改ざん検知システムの中で、WebS@Tの特長とは何であろうか。

 最大の特長は、独自に採用された構文解析による改ざん判定手法であろう。定期的にダウンロードする監視対象のWebファイルに対して、更新と改ざんを見分けるための改ざんパターンデータベースとマッチングをかけることで、「更新」と「改ざん」の見極めが可能になったという。監視ページ中に含まれる改ざんパターンから改ざんのスコアリングを行い、一定値を超えると改ざんと判定される仕組み。

 この効果の大きさは、従来のWeb変更検知システムと比較すると分かりやすい。Web変更検知システムは文字通り「変更」を検知するものだ。Webページの変化にのみ着目するため、正規の更新でも冗長なアラートが発信されてしまっていたという。コンテンツ作成者が新しいWebページを変更する、そのたびに管理者の下にアラートが届く。何度も繰り返されるうちに、両者の間でけんかが起こりかねない。WebS@Tは、この不毛な争いを世界から消し去ってくれるのだ。

 また、同構文解析により、動的ページの監視も可能になったのもメリット。大抵のWebサイトには、背後のデータベースと連携して、アクセスするたびに変化したページをはき出すWebアプリケーションが存在する。動的ページとは、この都度変化するページのことで、通常、毎回内容が異なるページから悪意の改ざんを見極めるのは容易ではない。

 WebS@Tでは、定型的な変化を更新と判定しなかったり、特に定型個所以外の変化に注目したりすることで、動的ページの監視を実現したという。これにより、完全にではないにせよ、SQLインジェクションによる改ざんにも対応するようになった。


 ただし、機械的に判断が難しい改ざんもある。「例えば、製品価格を改ざんされて少し値引きされてしまっていた場合、それが改ざんなのか正当な価格改定なのか、判断するのは担当者でない限り人間にも難しい」(宮崎氏)。Webページをダウンロードし、改ざんパターンデータベースとマッチングをかけることで改ざんを見抜く仕組みである以上、WebS@Tでも、こうしたパターン化しようのない改ざんに対しては完全ではない。


監視すべきページを自動で選んでくれる

 即座に改ざんを検知できるのはありがたいが、その代わりに、監視対象に多大な負荷をかけてしまうのでは、ありがたさも半減してしまう。WebS@Tには、Webページのダウンロード速度を小さくすることで、負荷を抑える技術も搭載されているため、その点も問題ない。「通常のWebアクセスと見分けがつかないため、監視対象サーバーの管理者でも、自分のシステムが監視されているとは気がつかないほど」(宮崎氏)とのこと。

 また、監視ファイルの自動設定機能も備える。この機能では、監視したいWebサイトのトップページのURLを指定するだけで、そのサイトのリンク構造を解析し、独自のアルゴリズムで監視すべきページを10~1000ファイルほど自動的に選定してくれる。これは監視開始時のみの話ではなく、日々、追加・削除されるWebサイトに対して、監視すべきページを毎日自動で追跡するため、完全な自動運用が実現できるという。


監視ファイルの自動設定が可能 トップページを設定し、監視するリンク階層、ページ数を指定するだけで、自動で監視ページを選択してくれる 監視中のページ一覧画面

Webサイトのメンテナンスにも利用できる

 さらにWebS@Tでは、Webサイトで管理されるファイル種別の分類、リンク切れページ数、平均ダウンロード速度を統計情報として把握することができる。さらに詳細情報として、実際にリンク切れを起こしているページや、明らかに遅延の原因となっているページを特定することもできるので、改ざん検知を行いながら、併せてWebサイトのメンテナンスとしても利用できるという。


改ざんだけでなく、障害も検知してくれる フル探索結果。ページごとのダウンロード速度を示し、リンク切れのURLは黄色で強調される ダウンロード速度を表示している様子

 販売体系は3種類。1つ目が、サーバー製品をユーザー環境に設置し、初期費用に5~100URL監視のライセンスを含んだ「アプライアンスモデル」で、多数のWebサイトを持っている大規模企業向け。2つ目が、サーバー製品をユーザー環境に設置し、実費に近い導入費用と1URLごとに低価格な月額費用を支払う「ASPモデル」で、第三者へのサービス提供を考えている企業向け。最後が、ネットワールドに設置されたサーバーを利用し、1URLごとの月額費用を支払う「ASPアカウントモデル」で、即導入したいユーザーに最適という。



URL
  株式会社ネットワールド
  http://www.networld.ne.jp/
  WebS@T
  http://www.networld.ne.jp/websat/


( 川島 弘之 )
2008/08/11 10:37

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.