 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
産総研・高木氏「Webサイトのセキュリティ構築には費用がかけられていない」 |
||||||||||||||
|
||||||||||||||
|
~Web Application Security プレ・コンファレンス
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
Web Application Security(WAS)フォーラム設立に伴い、賛同企業・団体を対象にしたプレ・コンファレンスが3月11日に開催され、フォーラム発起人でもある独立行政法人 産業技術総合研究所 グリッド研究センター セキュアプログラミングチーム長 高木 浩光氏が講演を行った。 ■ 「インターネットの基盤は脆弱」が前提
■ Cookie盗聴の問題点
同氏は「この種の欠陥は多数ある」とし、同研究所でも“安全なWebアプリ開発31箇条”を2002年12月よりWeb公開している。現在は40箇条になっており、クロスサイトスクリプティングやSQLインジェクションといった広く知られている脆弱性から、「ユーザーに設定変更を要求してセキュリティレベルを下げさせる、ログインパスワードに電話番号を用いる」など、設計の段階から問題があるものにも触れられている。 ■ セキュリティ対策に必要な要件とは 同氏はセキュリティの対策について「そもそも技術で解決できる問題なのか?」との疑問を呈した。情報漏えいの事件では、個人情報の含まれるディレクトリにアクセス制限がかけられていなかった例も散見する。同氏は「Webサイトの発注側がWebの常識に親しくない場合も多い。情報を漏らした企業が、問題を認識していなかった場合もあるのではないか」と述べた。また「発注側がセキュリティの欠陥が簡単に生まれてしまう現実を知らず、そもそもセキュリティに関する要件定義の方法も確立されていない」ことにも問題があるとした。「では、構築を請け負う技術者の倫理の問題かというと、それも難しい」という。「限られたリソースの中で、短納期、低価格で納入せなばならず、セキュリティの問題に注力しても能力が適正に評価されない」状況のほか、「セキュリティ対策に追加費用が必要な場合は、予算の関係上行われないことも多いだろう」と語った。 こうした問題のうち、ある部分は「Webサイトの構築に適切な費用がかけられていない」点に帰着する。同氏はフォーラムでの活動として、「実際の欠陥発生頻度や想定被害を基に数値評価し、適正価格を算出することも必要になる」とし、また「要求レベルを満たさない場合に、民事裁判での対策根拠にもなりえるような形で、行政機関の研究所、国がWebアプリケーションのセキュリティ標準としてのガイドラインを作ることも視野に入れるべき」とした。 しかし技術によらない問題に関しては、こうした対策を行いにくい場合もある。同氏は「第三者に想像のつくようなパスワードリマインダー、電話番号によるログイン、4桁数字のパスワード」などを挙げ、「こうした安易な設定をする事業者に対しては、このフォーラムのような民間の活動を通じなければ、解決できないだろう」と語った。 ■ URL Web Application Securityフォーラム http://www.wasf.net/ Web Application Security プレ・コンファレンス http://www.wasf.net/conference.html 産業技術総合研究所 グリッド研究センター セキュアプログラミングチーム http://securit.gtrc.aist.go.jp/
( 岩崎 宰守 )
|
|
|
|
|
|
|