Webアプリの脆弱性対策に「上流工程」での対応が有効な理由

「セキュリティ」を要求仕様の段階から組み込む

SCSK ITマネジメント事業部門 ITマネジメント第一事業本部セキュリティソリューション部 Webセキュリティソリューション課の保村啓太氏

セミナーの第1部では、SCSKからITマネジメント事業部門ITマネジメント第一事業本部セキュリティソリューション部Webセキュリティソリューション課の保村啓太氏が登壇した。「セキュアなWebアプリケーションを開発するために必要なセキュリティ対策」と題して、Webアプリケーションが抱える現在のセキュリティ上の課題と、その課題に対する有効なソリューションである同社の「Web Security Director」の紹介を行った。

保村氏によれば、ITセキュリティにおける「脆弱性」の種類は、大きく「プラットフォーム脆弱性」と「Webアプリケーション脆弱性」の2つに分けられる。プラットフォーム脆弱性は、アプリケーションが稼働しているシステムそのもののOSやデータベース、ミドルウェアに由来する脆弱性だ。一方のWebアプリケーション脆弱性は、企業のニーズに応じて個別に開発されたアプリケーションに発生する。そのため、存在する脆弱性はアプリケーションごとに千差万別であり、必要な対策も多岐にわたる。

ある調査によれば、サイバー攻撃の約75%は、後者の「Webアプリケーション」のレイヤに対して行われているという。その理由は、クロスサイトスクリプティングやSQLインジェクションなどをはじめとして、代表的な攻撃方法が広く知れ渡っていること。Webアプリケーションには、外部からデータを入力するためのフォームが数多く存在すること、対策の網羅性が低いことなどが挙げられているという。

「攻撃者にとっては、Webアプリケーションの脆弱性が『狙いやすく、攻撃が成功すれば得るものが大きい』ターゲットとなっています。これは、企業側から見れば、攻撃を受けやすく、それを防げなかった場合のビジネス上のダメージが甚大になりがちなことを意味しています。さらに、IPAのまとめによれば、Webサイトの脆弱性に対する届け出件数は2011年7月以降、増加に転じているとのことです。これは恐らく、ハッカーによるWebアプリレイヤへの攻撃総数の増加や、スマートフォンサイトなどへの高い関心に由来するのではないかと想像されます。Webアプリケーションのレイヤは現在、攻撃側にとっても、防衛する側にとっても注目を集めるものとなっているのです。企業にとって、Webアプリケーションでのセキュリティ対策は急務だと思います」(保村氏)

こうした背景のもと、多くの企業における現状の対策状況について、保村氏は「バランスが悪い状態」だと指摘する。システム開発においては、多くの場合、要求定義や設計といった「上流工程」、実装やテストといった「下流工程」を経て作業が進められるが、現在のセキュリティ対策は、下流工程に集中してしまっている点が問題だという。

「下流工程でセキュリティ対策を行うことはもちろん重要ですが、現状では、それと比較して、上流工程での対策が手薄になってしまっている点が問題です。一般的に、脆弱性や品質の修正に必要なコストは、工程の後になればなるほど、高くなっていくことが知られています。下流工程でのセキュリティ対策を行いつつ、できる限り、上流工程の段階で脆弱性をなくす開発プロセスをとることが重要になってきます」(保村氏)

上流工程で積極的にセキュリティ対策を行うことによるメリットは、修正にかかるコストの面だけではない。開発プロセス全体を通じたセキュリティレベルの向上により、手戻りコストの圧縮、システムリリース延期のリスクが減少するといったメリットも期待できる。

一方で、Webアプリケーションは、顧客の要件に合わせて個別に開発されるため、監査ガイドラインに依存した定型的な対策では網羅性に乏しく、効果的な対策を実施できないケースもあるといった課題も存在する。

SCSKが提供する「Web Security Director」は、こうした課題に対するソリューションとなる。具体的には、SCSKのWebアプリケーション開発と、セキュリティに関するノウハウを生かして、RFPや要件定義書の作成などを行い、上流工程からセキュリティを考慮したシステム開発を支援するサービスだ。

Web Security Directorでは、SCSKからクライアントに対してWebセキュリティの専門家を派遣する。彼らのヒアリングに基づいて、開発するアプリケーションに必要なセキュリティ要件を洗い出し、それを満たすための機能要件を組み込んだ各種のドキュメントを作成、納品する。また、既にクライアント側で作成されたドキュメントをセキュリティの観点でチェックするといったことも可能だ。機能については、認証、入力処理、セッション管理、SQL呼び出しといった各要素にわたって検討を行い、実装時には、そのセキュリティ要件を満たした形で実装されたかのチェックも行う。クライアントの求めるセキュリティレベルに合わせて、SIerとも連携を取りつつ対応を行う点もポイントだ。

保村氏は、Webアプリケーションにおけるセキュリティ対策のまとめとして「上流工程から対策を行うことで、コストの圧縮と円滑なシステムリリースが可能となる」ことを改めて強調した上で、Web Security Directorでは、ガイドラインと専門家の支援により「効率的」かつ「効果的」に上流工程でのセキュリティ対策を実施できるとした。