西本逸郎氏のセキュリティコラム「初めてのWebアプリケーション脆弱性診断をする際の検討ポイント(執筆日2013年12月10日)」

最終回の今回はWebアプリケーションの脆弱性(セキュリティ上の弱点)診断です。

Webアプリケーションと聞くと、自分には関係ないと 思う方も多いと思います。しかし、自分たちが知らないだけで、攻撃者の標的となっているWebアプリケーションを使用していることは良く見かけます。 Webアプリケーションは、ホームページ(Webサイト)上で動作するプログラムなどを指し、例えば簡単なプログラムであれば「来訪者人数のカウン ター」、複雑なものであれば「銀行のインターネットバンキングの仕組み」、「ECサイトのショッピングカート」などがあります。また、昨今ホームページ運 用は、CMS(コンテンツマネジメントシステム)と言われるWeb制作を効率よく作成・運用する仕組みを使用していることが多々あるからです。CMSを使 えば、HTMLという言語を使用してホームページの更新を行う専門技術者がいなくても、例えば広報や総務の方がワープロ感覚でホームページを更新すること ができるからです。

運用が楽にならないと、会社ではホームページを使いこなしていくことはできません。そこに、罠があります。その為に、うちはホームページで商売をしているわけではないからと言って、今回のコラムには関係ないとは、まったく言えません。

そこで、脆弱性診断の話になるのですが、その前に、サイトで何か事故が起きたら、一体全体どうなるかを考えてみたいと思います。

自分たちのホームページで改ざんや情報流出が発生したら、何が起きるでしょうか。考えてみてください。考えていただきたいことは「何をしなければならないか」ではありません。「何が起きるか」です。

ま ずは、改ざんはどうでしょうか。以前のコラムでも取り上げましたが、改ざんには、落書きや嫌がらせメッセージが表示されるような「見える改ざん」と、コン ピュータウイルスなどを配布する目的で誰にもわからないように手を加えられた「見た目変わらない改ざん」の二種類があります。

まずは「見える改ざん」をやられたときに、どんなことが起きるでしょうか。

次に、「見た目変わらない改ざん」の場合は、如何でしょう。

また、ホームページに侵入されて利用者のアカウント情報(IDとパスワード)が取得された場合は、何が起きるでしょうか?

ま ずは己を知ることが重要です。己を知ることの第一歩は、事件が起きると、何が起きるかを知ることです。つまりはビジネスインパクトへの理解です。IT活用 はこの数年で激変しています。仕事のやり方も変化し、合理化も進みました。その為、考えているより、重要な役割を担っていることが多くなっています。

さて、如何でしたか? 何が起きるか、想像できましたか?

何 が起きるかということへの想像力は経営者や管理者が既に持っている重要な能力のひとつです。環境変化が私たちにどんな影響を与えるのか、つまり何が起きる のかを捉えることがお仕事の大半のはずです。そこから、打つ手、つまりは何をしなければならないか、或いは何をしてはならないかにつなぐことができます。 マニュアルで対応できるのは、発生事象に対して何が起きるかの読みがあたっている時です。ですので、上記の「何が起きるか」で想定した「やばい事」に対し て手を打つことになります。

つまり、最初にやるべきは最悪の事態の想定で、そこに陥ったときの覚悟と、陥らないための寸止めから考慮する のが一般的です。それが、理解できたら、それが起きた場合、相手側の目的を阻止できるか、自分の関係者の事業継続に影響を与えない手を打てるのかになりま す。例えば、攻撃者の目的がウイルスを撒きたいのであれば、その被害を食い止められるか、徹底的に周知させることで相手を追い込むことができるかもしれな い。何らかの主義主張で改ざんをされたなら、その主張をさせない、主張者の不法ぶりをキャンペーンして目的達成させないようにする。金銭目的ならば換金さ せない手を打つなどです。同時に自分の関係者を守ることが出来るか、被害を封じ込められるかです。

次に、一般的に攻撃者のアプローチは、 侵入→拡大→行動と変化していきます。それに対して対策は後ろから考えるのがコツです。まずは、最後の「行動」の無力化が可能なのかという考慮です。そし て「拡大」を見つけて対応が可能かとなります。その為、ネットワーク経由の侵入や情報が漏れることを見張るセキュリティ監視は有効です。最後は「侵入」を させない方策となります。そこでも有効なのは、まずは監視とWebアプリケーションへの攻撃などを防いでくれるWAF(Webアプリケーション・ファイア ウォール)などの導入となります。そして、根本的に強靭な体かどうかを確認する脆弱性診断が必要になります。

これまでは、侵入させなけれ ば大丈夫という考えだったため、最初に診断、お金のある人は監視もやりましょうでしたが、最近は逆だということが浸透してきました。とはいえ、診断が必要 ないと言うことではありません。脆弱性は把握しておかないと、事件が発生しうるかどうかも当事者意識を持つことができませんので、重要なことです。

実は、当事者意識を持つためのもうひとつの重要な項目があります。それは「攻撃」の実態を知ることです。脆弱性が存在しても攻撃がまったくないならば、気にする必要はありません。少なくとも攻撃が来ているということを知れば、油断をしてはいけないことはわかります。

では、どうやったら、攻撃の実態を知ることができるでしょうか? 一番手っ取り早いのは、自社のホームページのアクセスログを分析することです。自分たちで行うのが難しいならば、IPAから公開されている以下のツールも使用できます。まだであれば、試してみてください。
http://www.ipa.go.jp/about/press/20100827.html
「ウェブサイト攻撃の検出ツール「iLogScanner」の性能向上版を公開」

ま た、直接的には攻撃を調べることにはなりませんが、自社のホームページを自身で攻撃者が狙いそうなサイトであるかどうかを確認する方法もあります。例え ば、グーグルで”filetype:php site:自サイトのドメイン名”などで検索し、合致したページがあると、そこには上から順番に攻撃が来ていて不思議ではないことがわかります。何故なら ば犯人も同じように検索をして攻撃対象サイトをピックアップしていることが多いと見られるからです。この例では、自サイトでphpで動作しているページが あるかを調べています。phpのところを action や asp 、 aspx 、jsp などに切り替えることで、攻撃者が狙っていてまったく不思議でないページが存在するサイトかどうかを把握しておくことはお勧めします。

そ して、自社ホームページには攻撃が来ている、或いは一般的な攻撃者が標的にするサイトであることが理解できたら、脆弱性診断の実施を考慮しましょう。もち ろん、クレジットカードを取り扱う、会員登録を行い、会員にアカウントを発行する、会員の個人情報を取り扱うなどのサイトは、ここの範疇ではありません。 法律上の管理責任も生じていますのでさっさとやらないといけません。

最後に脆弱性診断ですが、大きく分けて「プラットフォーム診断」と 「Webアプリケーション診断」の二つがあります。Webアプリケーションと言っても、CMSなどは「プラットフォーム診断」を行うことで、利用している Webサーバだけではなく利用しているCMSなどの脆弱性を知ることが出来ます。いわゆる流通ソフトの使用状況の診断となります。ところが、ワードプレス などのCMSを使用して作られたホームページはWebデザインを行うところが独自のテンプレートを開発していたり、公開されているテンプレートをカスタマ イズして使用していたりすることも多々あります。そういう場合は、個別のWebアプリを開発していることと変わりないため、別途「Webアプリケーション 診断」も行う必要があります。もちろんWebアプリケーションを独自に開発しているならば両方を受けるようにしてください。

自分 たちのホームページの運用形態(責任分解点)によって、誰がプラットフォーム診断をやるべきかが変わります。レンタルサーバー業者、クラウド業者と確認を 取り、使用しているプラットフォームの責任分解点を確認して、各々の責任で運用できるようにしておきましょう。事件は、その中間で起きていることが多いで す。特にワードプレスなどのCMSの整備責任は誰にあるのか、使用しているテンプレートの責任は誰なのかは、特に不明確な場合が多いです。

あと、診断とは直接関係しませんが、ホームページ更新のためのパスワードの管理は重々注意をしましょう。このパスワードが漏洩して改ざんされるケースは後を立ちません。当然ですが、このパスワードは他で使用してはいけません。

これまで、6回にわたりコラムを書いてまいりました。セキュリティは安全にして安心することではありません。安全にして用心を怠らないことが肝心です。少しでも皆様の効率のよいIT運用にお役に立てれば幸いです。

関連記事

更新情報

最新コラム

  1. 本連載では、全国の企業の皆様がICTを有効活用して、業務課題の解決や生産性の向上を通じて残業時間の短…
  2. はじめに 「業務改善へのミチノリ」コラムを書かせていただいています、橋川 吾教(ミチノリ)です。 …
  3. 前回は、Office365の活用を考えるにあたり、まずはメーカーが想定する使い方を理解すべき、という…

最新事例

  1. 某製造業「Web脆弱性診断サービスプレミアム / KUSANAGI採用事例」公開しました。 取…
  2. 以下の通り、Office365導入事例「プライム・ストラテジー株式会社」を公開しました。興味がある方…
  3. 以下の通り、 Protect Cat導入事例「イー・ガーディアン株式会社」を公開しました。興味がある…

ログインステータス

ログインしていません。
ページ上部へ戻る