Enterprise Watch
最新ニュース

「Webアプリケーションに脆弱性は必ずある」-セキュアスカイ乗口社長


 F5ネットワークスジャパン株式会社(以下、F5ジャパン)は11月16日、Webアプリケーションの脆弱性に関するプレスセミナーを開催。脆弱性検査事業を行っている株式会社セキュアスカイ・テクノロジー(以下、セキュアスカイ)の代表取締役社長、乗口雅充氏らが、Webアプリケーション脆弱性に関する説明を行った。


セキュアスカイ・テクノロジーの代表取締役社長、乗口雅充氏

Webアプリケーションの脆弱性を突く攻撃はファイアウォールをすり抜けてしまう
 いわゆるWebアプリケーションとは、動的にWebページを生成する仕組みをもったもの。例えば企業Webサイトの資料請求フォームや問い合わせフォーム、ショッピングサイト、電車の乗り継ぎ案内といったサイトが該当する。乗口氏は現在のWebアプリケーションの状況について、「検査を実施すると片っ端から脆弱性が出てくる。検査前には100%あると言っても言い過ぎではない。検査していない会社も多い中で多くのサイトが公開されていて、大丈夫なのかという怖い思いをしている」と警鐘を鳴らす。

 現状、企業では、開けてはいけないポートはないか、といったネットワークの脆弱性についての検査は普及してきているが、Webアプリケーションの脆弱性を突く攻撃は、正常な通信としてポート80や443を通ってやってくるため、いくらファイアウォールやIPSを導入したり、ネットワークの脆弱性を潰したりしても効果がないという。

 また、「通信機器やOSなどは、脆弱性情報をメーカーが発信しているが、Webアプリケーションはほとんど100%がカスタマイズアプリケーションであり、開発会社がスクラッチしている。そのため、誰も気が付かず、穴は開いたままになりやすい」(乗口氏)のも問題点。攻撃者は弱いところを狙ってくるため、現在では半数以上がHTTP、つまりWebアプリケーションの脆弱性を狙ってきているとのことで、被害は年々増えている。


 しかし、企業はまだまだWebアプリケーションの脆弱性について、手を打っているとは言い難い状況だ。乗口氏は対策が進まない状況について、3つの理由を挙げて説明した。1つ目は、Webアプリケーション開発側の問題だ。「Web開発会社はセキュリティのことなど考えていないところばかりで、品質に対する観点が欠けている」と指摘した乗口氏は、「出荷前検査を根付かせようと、大手Web開発会社と話し合いを続けてきたが、駄目だった。手間がかかるが、ユーザーが受け入れ検査をして、脆弱性が出たら瑕疵(かし)責任で修正を受け入れさせるしかない」と話した。

 一方で、ユーザー側の問題も指摘。「システム立ち上げの日付ありきで、検査をする余裕を取っていない。受け入れ検査をして、その結果によってカットオーバーを伸ばす伸ばさない、という検討の体制を作らないといけない」(乗口氏)とした。

 さらに、検査会社側にも問題があるという。乗口氏は、「100ページくらいのアプリケーションはいくらでもあるのに、今までは1ページ10万円くらいと、検査料金が高すぎた。また検査会社も検査員も少なく、受け皿もなかった」と述べる。そして、セキュアスカイでは、自動化できるところを自動化し、時間のかかる手動部分を減らす手法によって、1/3~1/5の料金を実現したと語った。

 次段階である、検査後の修正については、「プログラムの修正が手っ取り早い。しかし、大規模なミッションクリティカルシステムだと、直した後の正常動作を誰が保証するかという問題が生じる。加えて、プログラム修正はそのときに担当した会社に、担当した技術員がいることが必須。修正にかかる時間も考えなくてはいけない」(乗口氏)とする。

 そこで、最近増えてきたWebアプリケーションファイアウォール(WAF)製品が有効に利用できるというのである。乗口氏は「修正せずともWebサーバーの前に置くことで脆弱性をブロックできるWAFは、脆弱性そのものを顧客が認識していないので普及していなかった。しかし、意識が上がる中で、対策を考えるフェーズが出てくる。従来高額だった製品も、F5のようにロードバランサーにモジュールとして提供するベンダも出てきてコストも下がった。対策を提案する上では有効な手段の1つになった」と話し、これからは普及してくるだろうとの見方を示した。


F5ジャパンのシニアプロダクトマーケティングマネージャ、武堂貴宏氏
 ベンダ側では、F5ジャパンのシニアプロダクトマーケティングマネージャ、武堂貴宏氏が登壇し、WAFの必要性をあらためて訴えた。また、同社のWAFである「Application Security Manager」の特徴について、「正しい振る舞いをあらかじめ定義し、それ以外をブロックするポジティブセキュリティの考え方を採用しているため、未知の攻撃も防ぐことができる」と説明している。

 さらに武堂氏は、「WAFの導入が大変、運用は難しい、というのは誤解。アプリケーションの振る舞いをどう明確に示すかが必要になるが、当社ではこれをいかに簡単にできるか、という点に注力している。短時間での導入・設定が可能なスタンダードポリシーだけで大部分の脆弱性をカバーでき、これだけなら箱から出して半日で設定できる」と述べた。

 また、「ロードバランサーとして大変普及しているBIG-IPへの統合を終えたとたん、売り上げが爆発的に伸びている。現在では、トラフィックを制御する言語『iRules』を組み合わせることで非常に柔軟な制御が可能になったし、モジュールとしてBIG-IPに組み込めるため、アプライアンス単体に比べて価格も非常に安価に提供できる。こういった点が、顧客に評価されているのではないか」と話した。



URL
  F5ネットワークスジャパン株式会社
  http://www.f5networks.co.jp/
  株式会社セキュアスカイ・テクノロジー
  http://www.securesky-tech.com/


( 石井 一志 )
2006/12/06 19:32

Enterprise Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.