Webアプリのセキュリティは二極化へ、教育や検査が効果大－MBSD調べ

　三井物産セキュアディレクション株式会社（以下、MBSD）は7月21日、「2008年度 Webアプリケーション脆弱性検査レポート」を公開した。

　2008年4月1日～2009年3月31日にMBSDが実施したWebアプリケーション脆弱性検査サービスの結果と、2002年からの統計を集計し、Webサイトのセキュリティ対策状況を分析したもの。ここでは、Webサイトのセキュリティレベル二極化と、教育・検査の有効性について報告している。

■セキュリティレベルの二極化

　同レポートによると、2008年度に検査を行ったWebサイトのうち、何らかの脆弱性が発見されたのは全体の80％。大量の個人情報漏えいなどが起こる可能性のあった危険なサイトも増加傾向にあり、依然として多くのWebサイトで脆弱性が残っているか、または新しく作り込まれている状況という。

　検査したWebサイトに対し、5点満点で平均点を算出すると、2008年度は「3.26」。2点以下の危険なサイトが増えたことで、2007年度の「3.43」から2006年度の「3.19」近くまで後退する結果となった。

　ただし、脆弱性が検出されないセキュアなサイトの割合も年々増加。2008年度は過去最高（20％）となるなど、セキュリティレベルとしては安全・危険の二極化傾向にあるという。

　脆弱性の種類別検出率では、「クロスサイトスクリプティング」がトップで55％。危険度の高い「SQLインジェクション」も昨年に引き続き、19％と高い割合で検出されている。

　また、「パラメータの改ざん」も微増の傾向にあり、検出割合としては35％に到達。多くは認可処理の設計不備が原因と考えら、開発スケジュールが厳しくなるにつれて配慮がおろそかになる個所なため、短納期化に伴い、今後も検出率増加が予想される。加えて危険度の高さに修正の困難さも伴うため、警戒が必要としている。

■セキュリティ教育・定期検査が効果大

　根本的なセキュリティ対策としては、「開発者のセキュリティ教育」と「定期的なセキュリティ診断」の有効性に触れている。MBSDでは開発者向けに教育サービスを提供しているが、それを受講していた開発者と、そうでない開発者の作成したWebアプリケーションを比較した結果、検出された脆弱性は前者が平均4.6件、後者が平均18.6件と、大きな差が出た。

　また、過去にMBSDで検査を受けた開発者と、そうでない開発者の作成したWebアプリケーションも比較した結果、検出された脆弱性は前者が平均で8.3件、後者が30.1件で、教育と同様に大きな効果があるとした。

　以上から、教育と検査の両方を行うことが理想と総括。ただし、検査はWebアプリケーションのリリース前にしか行えない上に、事前調整や予算を要することから、スケジュールが切迫している状態では実施が難しいかもしれない。その点、教育は開発の合間や新入社員の教育時に行え、1回の教育でも以降の開発すべてに一定の効果が期待できると評価。その上で、Webアプリケーションに脆弱性を作り込まないようにするためには、教育によって根本的な脆弱性を減らした上で、スケジュールに応じた定期検査で、ケアレスミス・気のゆるみを補うことが効果的とした。