6月29日から7月1日までの3日間、東京ビッグサイトで開催された「情報セキュリティEXPO」など5つの展示会では、専門セミナーでも様々な話題が取り扱われた。その中からいくつか興味を引くセッションの内容をご紹介したい。

Webアプリを守るためには「ポジティブポリシー」への転換が重要

まずご紹介するのは、初日の午後に行われた「高度化するマルウェアと効果的な防御法」と題されたセミナー。といっても内容の半分はマルウェアというよりもWebアプリ全般の脆弱性に関する話で、前半に登場したテックスタイルの岡田良太郎氏は、Webアプリで脆弱性が多発している背景についてその理由を列挙した上で「『これさえやれば大丈夫』というものがこの分野には存在せず、状況は以前より良くなったとは言えるが100％完璧とは言いがたい」と述べた。

その上で先日IPAが発表した「ウェブサイトの脆弱性対策の緊急チェックポイント」について「『チェックポイント』というからにはこれに従って簡単にチェックが行えなければ意味が無いが、例えば『入力の無害化』と一口に言っても何を持って害とするかはサイトによって異なるし、『見慣れないファイルやプログラムが置かれていないか』に至っては、悪意を持ったプログラムが見慣れたプログラムのふりをしていたらどうしようもない」などと内容を批判。「Webのクラッキングはほとんどの場合、普通の機能を普通に使って行われるものであり、このチェックポイントに出てくる『不要な～』とか『見慣れない～』という基準は全く当てにならない」と一刀両断した。

では、Webアプリの脆弱性を減らすには何が効果的なのか。岡田氏は「ネガティブポリシーからポジティブポリシーへの転換」が重要だと語る。同氏は「最近金融系のセキュリティポリシーを書いている人と話していたら『何かが無いことを証明するのは、何かがあることを証明するのに比べ数十倍大変だ』と言っていたが、それと同じでネガティブポリシー(「～をやるのは禁止」の形でポリシーを定めること)では必ず意図しない穴ができるか、あるいは意図したものが通らなくなってしまう」と述べた上で、「これをポジティブポリシー(一旦全てを禁止した上で「～はやってもよい」という形でポリシーを定めること)に変えると、かなり意図した通りコントロールが行えるようになる」と語り、これを言い換える形で「IPAのチェックポイント的に言えば、入力の『無害化』ではなく『有効化』こそが重要だ」と訴えた。

これ以外にも岡田氏は「Input Validationの仕組みは一箇所に集中させる」「安全性の確認されていないプログラムや組み込み関数の使用は避け、特に『本に書いてあるから』と言ってそのプログラムをそのまま使うのは一番危険なので避ける」「ブラウザの警告画面が狼少年になってしまうのを避けるためにも、通常の使用では警告画面が出ないような設計を行う」などのアドバイスを行った。

特に「画面を完全に支配してしまう(ウィンドウを全体に拡大表示し、ステータスバーもアドレスバーも表示せず、右クリックも無効化してしまう)ようなサイトでは信頼性の確認手段がなくなってしまうので好ましくない」「SSLにより暗号化を行っているサイトで(SSLにより暗号化されていない)httpの画像やデータを混在させるのは、本来表示されるはずのものが表示されなくなる可能性があるだけでなく、危険なスクリプトなどの混入を許してしまう可能性があるので良くない」などの項目では、実際に該当する大手企業のWebサイトを表示させて実例を示した。

最後に岡田氏は、万が一何か問題が起きた場合に「得てして責任を誰に負わせるかという犯人探しが始まりがちだが、失敗は意図しないところで起きるものなのでそのような場合には決して担当者を責めるべきではない」「それよりも顧客の信頼を維持するためには対応のスピード感こそが重要であり、もしPhishingされたら1～2日で問題を修復できるような体制にしておかなければならない」と語って講演を締めくくった。