Web Application Security(WAS)フォーラム設立に伴い、賛同企業・団体を対象にしたプレ・コンファレンスが3月11日に開催され、フォーラム発起人でもある独立行政法人 産業技術総合研究所 グリッド研究センター セキュアプログラミングチーム長 高木 浩光氏が講演を行った。
■ 「インターネットの基盤は脆弱」が前提
|
独立行政法人 産業技術総合研究所 グリッド研究センター セキュアプログラミングチーム長 高木 浩光氏
|
同氏は「Webアプリケーションは脆弱な基盤の上に成り立っている」との認識を述べ、「要素技術のレイヤーが低く、システム構築のたびにこれを組み合わせてセキュリティプロトコルを設計しているようなもの」と語った。しかし「サービスごとに自由に選択、設計できる点がメリットでもあり、安全でも画一的な場合は、発展が阻害されるもの」とし、「昔は業界内だけで議論していたため、ある種のセキュリティが保たれていたが、誰もが使うものになった今、現実的には正しい技術情報の共有と理解を促していく公開主義しかない」と語った。
■ Cookie盗聴の問題点
|
HTTP/HTTPS混在の商用サイトでは、プロキシサーバーによるパケットキャプチャでCookieを盗聴できる例もある
|
次に同氏は“Cookie盗聴”の問題に触れた。同研究所では、ユーザー登録機能を持つ大手通販サイトの脆弱性調査結果を2003年7月に発表、これを受けた政府は、セキュアモードでのCookieの利用を勧告している。調査では「22サイト中20サイトに問題があった」とのこと。こうしたサイトではSSLで暗号化されたWebページとそうでないものが共存しており、「通信内容をプロキシサーバーで監視すると、例えば認証語に暗号化されていないトップページへのアクセスを行ったときにCookieの内容が見えてしまう」という。これを利用すれば、他人になりすましてSSLで暗号化されたWebページにアクセスできてしまう。
同氏は「この種の欠陥は多数ある」とし、同研究所でも“安全なWebアプリ開発31箇条”を2002年12月よりWeb公開している。現在は40箇条になっており、クロスサイトスクリプティングやSQLインジェクションといった広く知られている脆弱性から、「ユーザーに設定変更を要求してセキュリティレベルを下げさせる、ログインパスワードに電話番号を用いる」など、設計の段階から問題があるものにも触れられている。
■ セキュリティ対策に必要な要件とは
同氏はセキュリティの対策について「そもそも技術で解決できる問題なのか?」との疑問を呈した。情報漏えいの事件では、個人情報の含まれるディレクトリにアクセス制限がかけられていなかった例も散見する。同氏は「Webサイトの発注側がWebの常識に親しくない場合も多い。情報を漏らした企業が、問題を認識していなかった場合もあるのではないか」と述べた。また「発注側がセキュリティの欠陥が簡単に生まれてしまう現実を知らず、そもそもセキュリティに関する要件定義の方法も確立されていない」ことにも問題があるとした。
「では、構築を請け負う技術者の倫理の問題かというと、それも難しい」という。「限られたリソースの中で、短納期、低価格で納入せなばならず、セキュリティの問題に注力しても能力が適正に評価されない」状況のほか、「セキュリティ対策に追加費用が必要な場合は、予算の関係上行われないことも多いだろう」と語った。
こうした問題のうち、ある部分は「Webサイトの構築に適切な費用がかけられていない」点に帰着する。同氏はフォーラムでの活動として、「実際の欠陥発生頻度や想定被害を基に数値評価し、適正価格を算出することも必要になる」とし、また「要求レベルを満たさない場合に、民事裁判での対策根拠にもなりえるような形で、行政機関の研究所、国がWebアプリケーションのセキュリティ標準としてのガイドラインを作ることも視野に入れるべき」とした。
しかし技術によらない問題に関しては、こうした対策を行いにくい場合もある。同氏は「第三者に想像のつくようなパスワードリマインダー、電話番号によるログイン、4桁数字のパスワード」などを挙げ、「こうした安易な設定をする事業者に対しては、このフォーラムのような民間の活動を通じなければ、解決できないだろう」と語った。
■ URL
Web Application Securityフォーラム
http://www.wasf.net/
Web Application Security プレ・コンファレンス
http://www.wasf.net/conference.html
産業技術総合研究所 グリッド研究センター セキュアプログラミングチーム
http://securit.gtrc.aist.go.jp/
( 岩崎 宰守 )
2004/03/15 00:01
|