国内屈指のセキュリティコンサルタントである、EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 氏(以下徳丸氏)を招き、当社向坊敦(向坊)が現在のセキュリティや脆弱性に関する課題や対策について対談いたしました。

向坊「この度はお忙しいところ対談のお時間を賜りまして、誠にありがとうございます。また、徳丸本で知られる『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践』 の出版、おめでとうございます。徳丸本といえば、Webセキュリティのバイブル的な存在として広く知られている有名な本ですよね。今回の第二版は約650ページにもわたり、まとめるのに苦労されたと思いますが、非常にわかりやすく書かれておりました。概論だけでなく、サンプルコードが豊富かつ解説も実践的であり、さすがの1冊と感じました。」

徳丸氏「ありがとうございます。実は『体系的に学ぶ 安全なWebアプリケーションの作り方』の第一版は7年前に出版されたもので、その間に市場では変化が起こっています。例えば、第一版の出版時にはJavaScriptは補助的な位置づけでしたが、現在はJavaScriptが多用されるようになりました。また、サーバ側ではAPIが増えてきており、第二版ではこれらの部分を重点的に改訂しました。また、開発者向けに執筆していますので、開発者が手を動かしながら、あるいは実際の通信の状況を見ながら進めることで理解が進むものを出版したいとも考え、今回の改訂に至りました。OASP Top 10の2017版も執筆中に発表されましたので、その内容も今回含んでいます。」

向坊「新しいWebの作り方も、ただ単に動く、というのではなく、ちゃんとセキュリティに配慮しないと問題がありますよね。しかも、その部分が狙われているような気さえします。」

徳丸氏「新しいWebの作り方だけが狙われているわけではないとは思います。よく、【セキュリティはいたちごっこで、攻撃の手口はどんどん進化していっていて、それに対応していく必要がある】と言われています。しかし、実は、Webセキュリティに対する侵入の手口は、本質的にはあまり変わっていないように思えます。ただ、攻撃のターゲットは変わってきているんですよね。かなり前の時代では、Firewallさえ導入しておけば万全と思われていた時代もありました。しかし、攻撃者はFirewallが普及してくると、SQLインジェクションを使って攻撃してきましたし、SQLインジェクションに対しての対策がとられたら、今度は著名なソフトの脆弱性を狙って攻撃してきています。攻撃はする側は、つねに、システムの弱い部分(脆弱性の有るところ)をついてきますね。そういう意味で、今、サイトが狙われていなくても、見つかっている脆弱性は、今のうちから対応しておくべきです。対応しておけば将来狙われても慌てることがありません。特に、脆弱性がアプリ全体に関わることもあります。その場合は、対応に時間が必要となるため、攻撃されてからでは間に合わずに被害を受けることになります。いろいろなインシデントを見てきたので、狙われる前から脆弱性対応をしていくことが本当に大事だと感じています。」

向坊「まさにその通りだと私も感じています。そこで当社は貴社のご協力を得て、ウェブアプリケーション脆弱性診断サービスだけでなく、無線LAN脆弱性診断サービスをお客様に提供するようになりました。少しお話を脆弱性診断の話に移したいと思います。まず、ウェブアプリケーション脆弱性診断サービスについてですが、脆弱性診断の重要性についてお聞かせいただけますでしょうか?」

徳丸氏「まず、インターネットからWebサーバに侵入するためには、脆弱性を突くか、認証を突破する(パスワードを破る)かの二つしかありません。パスワードを突いた攻撃は比較的に簡単に防げるのですが、問題は脆弱性をつく攻撃です。最近は特にいろいろなソフトを組み合わせてサーバを構築していることが多いので、複雑化しています。つまり、サーバを動かすための多くのソフトウェアの一つの脆弱性がサービスの停止や情報漏洩につながってしまうということです。また、複雑化しているが故に、社内担当者が脆弱性を発見することを難しくしています。これが、第三者による診断が必要な理由です。

向坊「たまに『うちのサイトは個人情報がないから脆弱性診断をしなくても攻撃されないから大丈夫。』とか『うちは企業規模が小さくて、攻撃されるような情報もないから大丈夫』とおっしゃる企業様もいらっしゃるのですが、そのあたりは如何でしょうか?」

徳丸氏「カード情報を狙っている場合は、カード情報を持っているサーバを攻撃しますが、実際の被害はそれだけではないですね。最近はビジネスとして攻撃してきています。例えば、オンラインバンキングで不正送金させられたり、サイトを改ざんされて、閲覧したユーザのブラウザ上でJavaScriptを動かすことにより仮想通貨のマイニングをさせられたりするようなケースも出てきています。個人情報の有無や、事業規模・業種も関係なく、無差別に攻撃されています。その様な悪用を未然に防ぐために脆弱性診断が必要です。」

向坊「そうなんですね。脆弱性診断の重要性がよくわかりました。脆弱性診断にはどのような種類があるかについて教えてください。」

徳丸氏「脆弱性診断サービスには大きく分けて二種類あります。1つはサイト専用に作成されたWebアプリケーションに潜む脆弱性を洗い出して報告するWebアプリケーション脆弱性診断サービス、もう1つはサーバの設定不備や世の中に出回っているミドルウェアのパッチの適用状況を調査するプラットフォーム診断です。プラットフォーム診断は既知の脆弱性の有無を調べる診断がメインになります。ツールでのプラットフォーム診断で誤検知がないかどうかの判断や、ツールが見逃したものが無いか等を手動で実施する場合もあります。一方Webアプリケーション診断は、未知の脆弱性を調べる診断方法です。ですから検査内容は全然違います。カスタマイズが多いWebサイトの場合はプラットフォーム診断以外にもこちらも実施する必要があります。Webアプリケーション診断のほうは、さらに、手動での診断と、ツールでの診断があります。ツールでの診断は安価に実施できますし、手動ではより精度が高い診断が可能ですが、割高になります。これらはいわゆるブラックボックス診断といわれるもので、実際のWebサイトにアクセスして、いわば攻撃者の視点でサイトをみて様々な模擬攻撃をして脆弱性を判断する方法となります。ブラックボックス診断以外の方法でソースコード診断があります。ソースコード診断は、実際にソースコードを目視やツールを使って診断します。

向坊「多種多様なんですね。実際御社がWebアプリケーション診断の依頼をうける場合はどのパターンが多いですか?」

徳丸氏「まあ、規模の大きい数十万行もあるようなソースコードですと、全部を目視で見ることはできないですから、ソースコード診断ツールを使って実施しますね。我が社としては、2000行以下ぐらいでしたら手動で診断することも多いです。調べる方法は、特定の関数に注目して、その前後の内容が脆弱性に対応する記述になっているかどうかを確認します。予算の都合で、ブラックボックス診断を実施される場合も多いですね」

向坊「Webアプリケーション診断サービスは本当に多様なんですね。診断するシステムにより、『最適な診断』が異なるようですので、あらゆる診断方法に精通している業者を選んだほうがよさそうですね。次に、もう一つの診断サービスである無線LAN脆弱性診断サービスについて、なぜ必要なのか?攻撃者の目的、攻撃される企業の特徴、などをお聞かせいただけますでしょうか?」

徳丸氏「そうですね。まず前提として攻撃者は、社内ネットワーク内に点在している情報を狙っています。しかし、インターネットと社内ネットワークの間にはFirewallがあるので直接侵入が難しい。でも、社内ネットワークにさえ侵入できれば後は比較的簡単なんです。よくニュースになっているのは標的型攻撃で、特定企業に攻撃を仕掛けてウイルスを社内のパソコンに感染させ、そのパソコンを起点にして重要情報を持ち出していくというものです。そして、そのほかにも、ウイルスを使わずに社内ネットワークに入り込む方法がいくつかありますが、その方法の一つが、社内無線LANの脆弱性からの侵入なんです。

向坊「無線LANからの攻撃は、Webサーバへの攻撃に比べてその企業に対する攻撃意図が明確なような気がしますね。」

徳丸氏「はい。無線LANを狙った攻撃の場合は、現場に行かないと攻撃できないですから、無作為ではなく、特定の企業を狙った攻撃が多いですね。ちなみに、被害を受ける企業は無線LANの機器のセキュリティの選定が甘いなど、管理方法が不十分な企業が多いです。家庭用の無線LANだとID/PWは共有なので論外ですが、従業員が無断で設置した野良アクセスポイントがあったり、暗号化方式が当初導入した時の古いままであったりなどがよくある話ですね。無線LANに詳しい管理者がいれば対応できるのでしょうが、無線LANをきちんと管理していくことは通常の企業では難しいので、一度専門家に依頼して現状把握したほうがいいと思います。

向坊「そうですね、無線LANからの攻撃に関しても、Webアプリケーション脆弱性診断の場合と同様に『うちは規模が小さくて、攻撃されるような情報もないから大丈夫』とおっしゃる企業様もいらっしゃるのですが、こちらに関してはどうでしょうか?」

徳丸氏「それも問題ですね。実は、最近特に、サプライチェーンを標的にしているハッカーが増えています。これは、あるAという企業の情報を搾取するために関連会社Bや協力会社Cを攻撃するんですね。自社固有の重要なデータがなくても仕入先や得意先のデータ、お客様のメールアドレス等、攻撃するための情報を抜き取られて、それが元で取引先企業が情報を盗まれる事例が出ています。もう、自社の事業規模が小さいから大丈夫などとは言えなくなっています。IPAもサプライチェーンに関しての注意喚起を行っています。

向坊「そうですね。その他、脆弱性診断を実施する以外に注意すべき点があったらお教えください」

徳丸氏「あとは、認証をきっちりとすることを考える必要がありますね。WannaCry(ワナクライ)を例にして言うと、日本は、海外に比べて意外と感染例が少なかったといわれています。それは、入り口対策がしっかりしていたからだと思います。しかし、先ほども申し上げましたが一旦入られると弱いです。境界防御も重要ですが、今後は認証部分のセキュリティ強化を図っていくべきだと思います。」

向坊「私どものお客様でも、より細かい認証、デバイスやユーザによるポリシー制御を、シスコ社のISE(Identity Services Engine)を使って導入していただくことが増えてきました。最終的には、ネットワークの状況の見える化までご提供できればと考えています」

徳丸氏「もう少し先を考えると、仮説検証として一般社員の端末がウイルス感染した、侵入された場合にどれぐらいの情報があるのかもシミュレーションすることも必要でしょうね。本当に悪い人たちは、いろんなことを考えて攻撃してきます。本当にすごいなぁと思います。悪い人がどう攻めてくるかを考えているときりがありませんので、とにかく、既にわかっている脆弱性を先に潰して防御力を高めましょう!と言うのが私の考えです。」

向坊「そのお考えで、脆弱性診断サービスを提供されているんですね。手前みそになりますが、当社はEGセキュアソリューションズ社にご支援いただきながら、Web脆弱性診断サービス無線LAN脆弱性診断サービス を提供しています。興味がある方はそちらを是非ご覧ください。さて、最後に当社への期待をお話しいただけると幸いです。」

徳丸氏「そうですね、私どもは、貴社の取り引き先企業の多さに注目しています。2008年頃からインターネットセキュリティの格差社会という事を言っているのですが、最近ますますこの格差が広がっているように感じています。わが社と徳丸というブランドはセキュリティに詳しい方にはリーチしているが、そうでない企業にはリーチできていません。実は本当に必要とされる企業にはリーチできていない可能性があると考えています。引き続き協業いただき、お客様のセキュリティ環境の向上にご助力いただけると幸いです。」

向坊「ありがとうございます。その様に言っていただけるととても励みになります。ディーアイエスソリューションは貴社のご支援の下、私たちのお客様だけで無く、DISグループ含めてお客様のセキュリティ環境の改善に努めます。ありがとうございました。」

Related post

更新情報

最新コラム

  1. こんにちは。吉政創成の吉政でございます。 Windows Server 2008が2020 年1月…
  2. こんにちは。ディーアイエスソリューションの向坊です。今回のコラムのテーマは「RPAが得意とする業務」…
  3. こんにちは。吉政創成の吉政でございます。今日は「BCP対策やバックアップシステムの投資規模を決める基…

ログインステータス

You are not logged in.
Return Top