橋川吾教の「業務改善へのミチノリ」コラム第2回 『Web脆弱性の効果的な対策〈Webもアプリも〉』

「業務改善へのミチノリ」コラム 第2回 『Web脆弱性の効果的な対策【Webもアプリも】』 

DSol 橋川 吾教(みちのり)による「業務改善へのミチノリ」コラム第2回『Web脆弱性の効果的な対策【Webもアプリも】』を公開致しました。

興味がある方は是非ご覧ください。

###

はじめに

「業務改善へのミチノリ」コラムを書かせていただいています、橋川 吾教(みちのり)です。

新年いかがお過ごしでしょうか?私は今年のお正月も実家のある広島で毎年恒例となっている介護施設でのボランティア演奏会をして参りました(プロフィール写真は一昨年のものです)。実はこのコラムを始める際にスーツを着ている写真を提出するよう言われたのですが、そのような写真はこれ以外に見当たらず、否応なしに決まったという経緯があります。これも何かの縁と捉え、より分かりやすいコラムを目指して仕事も趣味も全力で取り組んで参りますので皆様、本年もどうぞ宜しくお願い致します。

 

第2回目の今回は「Webサイト・Webアプリケーション脆弱性対策の重要性」についてです。

皆様は不測の事態に備えて売買契約や委託契約で「損害賠償」について取り決めをしていらっしゃるかと存じます。その中でも「賠償金額の制限」については、会社の存亡にかかわる大事な条項ですから特に気を遣われる箇所かと思いますが、もしその制限を上回る賠償金を支払わなければならない判決が下されたらどうしますか?

そんな、ちょっと怖いお話をしなければならないのは、とあるハッキング手法が引き金となって大問題を引き起こした実例があるからです。それはWebサイト・Webアプリケーションの脆弱性を狙ったハッキング手法、「SQLインジェクション」です。そもそも「SQL」とは何でしょうか?

 

・SQL

→Webサイト・Webアプリケーションのデータベース保存追加削除取得するときに使う言語。

 

つまり、WebサイトやWebアプリケーションのデータベースは「SQL」を使って発せられる命令に従って動いているのです。この「SQL」に不正なプログラムを 「インジェクション(注入)」 することによって本来は非公開である情報を得たりサイトを書き換えたりすることが「SQLインジェクション」なのです。この不正なプログラムを注入する方法は「HTTPリクエスト」と言いますが、これには特別な技術が必要な訳ではありません。皆さんは「HTTPリクエスト」をほとんど毎日実行されています。なぜならばGoogleやYahooを使って情報検索することも立派な「HTTPリクエスト」だからです 図(1)

 

                                  図(1) 「通常のHTTPリクエスト」 と 「SQLインジェクション」

ハッカーは私たちと同じようにWebサイトやWebアプリケーションを閲覧して脆弱性を見つけ出し、それを足掛かりにして「SQL」に不正な命令を発するプログラムを仕掛けていくのです。

「うちの会社はSQLインジェクションのような不可抗力による損害は賠償しない売買契約を取引先と結んでいるから問題無いよ!」とお考えになった方、少々お待ちください。「SQLインジェクションによって発生した情報漏洩」はWebサイト・Webアプリケーション開発・管理者側の債務不履行による重過失であるとし、損害賠償金額の支払いを命じられた判例があるのです 図(2)

                                 図(2)「 SQLインジェクションによる情報流出事故」が「開発・管理者側の債務不履行」とされた判例

上記のように本事案では、原告・被告間で予め取り決めていた損害賠償の制限金額どころか、システム全体の受注金額を上回る賠償金の支払いが被告に命じられるという大変厳しい判決が下されています。それほどWebサイト・Webアプリケーションの運営・管理者側に求められるセキュリティ対策の範囲と程度が重く見られているという証であり、その範囲と程度は今後も益々拡大していくものと予測されます。また委託元の会社も、一度情報漏洩が起これば対策費用、お客様への謝罪、信頼回復のために莫大なコストが掛かってしまいます。もはやハッキングによる情報漏洩は「不可抗力」では済まされない時代なのです。

 

Webサイト・Webアプリケーション脆弱性診断サービスについて

弊社はWebサイト・Webアプリケーションの情報漏えいにつながる脆弱性を診断し報告する診断サービスを提供しております。貴社のWebサイト・Webアプリケーションをハッキングの脅威から守るため是非ご検討ください。

 

■Webサイト・Webアプリケーション脆弱性診断サービスの詳細はこちら

https://www.si-jirei.jp/secure/websecurityservice/

Related post

更新情報

最新コラム

  1. こんにちは。吉政創成の吉政でございます。今日は「コミュニケーション効率の向上で業績が好転するのはなぜ…
  2. こんにちは。吉政創成の吉政でございます。第十回:「一万円前半で買えるCisco無線LANアクセスポイ…
  3. こんにちは。吉政創成の吉政でございます。今日は「お金をかけずに直帰率を改善する方法」という内容で書き…

ログインステータス

You are not logged in.
Return Top