|
ネットワールド、営業本部 ソリューション営業グループ グループリーダーの宮崎聖崇氏
|
Webサイトの改ざんが後を絶たない。最近ではWebサイトにアクセスしただけで、一般ユーザーのPCにウイルスが侵入するよう改ざんされた事例も発生し、Web管理者はなかなか気を抜くことができない。
特に2008年は、SQLインジェクションによるWebサイト改ざん事件が年初から多発し、Webサイト管理者は十分な睡眠時間を取れているのだろうか、と心配になってくる状況だ。そんな管理者にとって、人体への副作用なしに安眠を誘ってくれる薬となりそうなのが、Web改ざん検知システムである。
中でも、INTEROP TOKYO 2007の「Best of Show Award~情報セキュリティ製品部門~」でグランプリに輝いた「WebS@T」では、KDDI研究所と神戸大学の森井教授の共同研究により、正規の「更新」と悪意の「改ざん」を的確に見分けてアラートを出すことに成功したという。研究成果はKDDIによって製品化され、販売はネットワールドが行っている。そこでネットワールド、営業本部 ソリューション営業グループ グループリーダーの宮崎聖崇氏に製品の特長など詳細を聞いた。
■ 動的ページの改ざんも検知できる
|
独自の構文解析により、変更と改ざんを見極める
|
|
動的ファイルも監視できる
|
|
改ざんを検知した様子
|
そもそも、Web改ざん検知システムとはどういったものか。企業のWebサイトが改ざんされる事件は、何度もニュースで報道されているため、おそらく耳にしたことがあるであろう。Webサイトも人が作るもの、当然、バグが存在する。そのバグを悪用して、例えば、外部からの不正アクセスによりWebページの内容を勝手に変更されてしまったという事例が、古くからたくさん報告されている。あるいはバグなどを利用せずに正当な手順で、不正に改ざんされた例もあるかもしれない。
企業のページが改ざんされてしまうと、改ざん内容によっては、企業イメージが大きく失墜してしまう。また、修正のためWebサーバーを一時的に停止することになれば、当然その間のビジネスチャンスを失うことになるし、フォレンジック(原因究明のためにデータを収集・分析すること)などの事後対応で特別損失を被ることにもなる。さらに、改ざんによってユーザーに迷惑がかかれば、訴訟、損害賠償といった事態にまで発展することも、ないとはいえない。
Web改ざん検知システムは、こうした改ざんをいち早く検知するためのシステムだ。改ざんをリアルタイムに防ぐことはできないが、早急に検知することで、迅速な対応を可能にしてくれる。
そうしたWeb改ざん検知システムの中で、WebS@Tの特長とは何であろうか。
最大の特長は、独自に採用された構文解析による改ざん判定手法であろう。定期的にダウンロードする監視対象のWebファイルに対して、更新と改ざんを見分けるための改ざんパターンデータベースとマッチングをかけることで、「更新」と「改ざん」の見極めが可能になったという。監視ページ中に含まれる改ざんパターンから改ざんのスコアリングを行い、一定値を超えると改ざんと判定される仕組み。
この効果の大きさは、従来のWeb変更検知システムと比較すると分かりやすい。Web変更検知システムは文字通り「変更」を検知するものだ。Webページの変化にのみ着目するため、正規の更新でも冗長なアラートが発信されてしまっていたという。コンテンツ作成者が新しいWebページを変更する、そのたびに管理者の下にアラートが届く。何度も繰り返されるうちに、両者の間でけんかが起こりかねない。WebS@Tは、この不毛な争いを世界から消し去ってくれるのだ。
また、同構文解析により、動的ページの監視も可能になったのもメリット。大抵のWebサイトには、背後のデータベースと連携して、アクセスするたびに変化したページをはき出すWebアプリケーションが存在する。動的ページとは、この都度変化するページのことで、通常、毎回内容が異なるページから悪意の改ざんを見極めるのは容易ではない。
WebS@Tでは、定型的な変化を更新と判定しなかったり、特に定型個所以外の変化に注目したりすることで、動的ページの監視を実現したという。これにより、完全にではないにせよ、SQLインジェクションによる改ざんにも対応するようになった。
ただし、機械的に判断が難しい改ざんもある。「例えば、製品価格を改ざんされて少し値引きされてしまっていた場合、それが改ざんなのか正当な価格改定なのか、判断するのは担当者でない限り人間にも難しい」(宮崎氏)。Webページをダウンロードし、改ざんパターンデータベースとマッチングをかけることで改ざんを見抜く仕組みである以上、WebS@Tでも、こうしたパターン化しようのない改ざんに対しては完全ではない。
■ 監視すべきページを自動で選んでくれる
即座に改ざんを検知できるのはありがたいが、その代わりに、監視対象に多大な負荷をかけてしまうのでは、ありがたさも半減してしまう。WebS@Tには、Webページのダウンロード速度を小さくすることで、負荷を抑える技術も搭載されているため、その点も問題ない。「通常のWebアクセスと見分けがつかないため、監視対象サーバーの管理者でも、自分のシステムが監視されているとは気がつかないほど」(宮崎氏)とのこと。
また、監視ファイルの自動設定機能も備える。この機能では、監視したいWebサイトのトップページのURLを指定するだけで、そのサイトのリンク構造を解析し、独自のアルゴリズムで監視すべきページを10~1000ファイルほど自動的に選定してくれる。これは監視開始時のみの話ではなく、日々、追加・削除されるWebサイトに対して、監視すべきページを毎日自動で追跡するため、完全な自動運用が実現できるという。
|
|
|
監視ファイルの自動設定が可能
|
トップページを設定し、監視するリンク階層、ページ数を指定するだけで、自動で監視ページを選択してくれる
|
監視中のページ一覧画面
|
■ Webサイトのメンテナンスにも利用できる
さらにWebS@Tでは、Webサイトで管理されるファイル種別の分類、リンク切れページ数、平均ダウンロード速度を統計情報として把握することができる。さらに詳細情報として、実際にリンク切れを起こしているページや、明らかに遅延の原因となっているページを特定することもできるので、改ざん検知を行いながら、併せてWebサイトのメンテナンスとしても利用できるという。
|
|
|
改ざんだけでなく、障害も検知してくれる
|
フル探索結果。ページごとのダウンロード速度を示し、リンク切れのURLは黄色で強調される
|
ダウンロード速度を表示している様子
|
販売体系は3種類。1つ目が、サーバー製品をユーザー環境に設置し、初期費用に5~100URL監視のライセンスを含んだ「アプライアンスモデル」で、多数のWebサイトを持っている大規模企業向け。2つ目が、サーバー製品をユーザー環境に設置し、実費に近い導入費用と1URLごとに低価格な月額費用を支払う「ASPモデル」で、第三者へのサービス提供を考えている企業向け。最後が、ネットワールドに設置されたサーバーを利用し、1URLごとの月額費用を支払う「ASPアカウントモデル」で、即導入したいユーザーに最適という。
■ URL
株式会社ネットワールド
http://www.networld.ne.jp/
WebS@T
http://www.networld.ne.jp/websat/
( 川島 弘之 )
2008/08/11 10:37
|