前回、NTTアドバンステクノロジが提供する、トータルなセキュリティサービス「NetProtect」というサービスから、ネットワーク機器や各種サーバを対象とした【IPネットワークセキュリティ診断】と、Webサイトを対象とした【Webセキュリティ診断】という2つの診断サービスを紹介した。

ただ、企業の中には、『自分のところはしっかりとした対策が実施できているので、診断の必要はない』と考える人も多いのではないだろうか。実際、企業のシステム構築を行うSIerは、セキュリティに配慮した上でシステムを構築し、Web構築を手がける技術者であれば、セキュアコーディングを心掛けているだろう。しかし、そんな企業でも悪意ある攻撃者から不正アクセスのターゲットとして狙われやすいセキュリティの穴(脆弱性)が見つかることが多いのだ。では、なぜセキュリティホールができてしまうのだろうか?

セキュリティ診断を受けていないシステムには大抵穴がある!(前編)

中小企業でも攻撃のターゲットになり得る

NTTアドバンステクノロジ ネットワークソリューション事業本部 応用NIビジネスユニット シニアセキュリティスペシャリスト 浅田享氏

「サーバ構築やWeb構築のプロは、自分の担当についてしっかりとしたセキュアなシステム構築を行うでしょう。しかし、特定の組み合わせや設定のもとでのみ発生するセキュリティホールまでは、なかなかフォローできません」と、NTTアドバンステクノロジのシニアセキュリティスペシャリストである浅田享氏は、その理由を説明する。

従来、「NetProtect」のようなセキュリティ診断サービスを利用するのは、大企業やセキュリティ意識の高い金融系企業が中心だった。しかし、現在では中小企業でも社内システムにさまざまな機能が組み込まれて複雑な構成になり、Webサイトの活用も進んでいる。保有している情報の重要性は企業規模に関係なく、どの企業でも標的型攻撃のターゲットになる可能性がある。したがって、中小企業においても、セキュリティに関しては、大企業と変わらない配慮が必要になる。

専門の情報システム部門を持たない中小企業や、社内システムを部分的に導入している企業などは、特に「NetProtect」のような総合診断が必要だと浅田氏は訴える。

ファイアウォールを突破されても安全なシステムを構築

【IPネットワークセキュリティ診断】では、外部からの侵入を想定した診断をリモートで行うのが一般的だが、中には内部ネットワークからの診断を希望する場合もあるという。これはファイアウォールで対策を行いつつも、ファイアウォールを突破された場合でも安全を確保したいという考えがあるからだという。

IPネットワークセキュリティ診断サービスの流れ

「ファイアウォールやセキュリティアプライアンスで攻撃を防御している場合、一時的に防御が機能しなくなったときシステムは保護されなくなってしまいます。基本的な対策を導入しつつ、仮にそれを越えられた場合や一時的に防御できなくなった場合でも『システムは安全』という環境を作ることも重要で、われわれはそのお手伝いもしています」と浅田氏は語る。

想定される脅威

ツール診断では発見できない問題が多いWebサイトにしっかりと対応

一方、【Webセキュリティ診断】のニーズとしては、実際にセキュリティ不安を抱えている場合と、クレジットカード決済や個人情報など、重要情報を扱っているため第三者機関による診断を必要としている場合の2パターンがあるという。

Webセキュリティ診断サービスの流れ

Webでセキュリティ上懸念されるのは、複雑なセッション管理や認証を行っている場合だ。この場合、Webアプリケーションに対して検査を行わなければならないが、市販ツールでは対応できない場合があるという。また、SQLインジェクションなどメジャーな脆弱性については対応していたつもりでも、セッションの漏洩や認証回避ができてしまっていたというような事例もある。

「たいていは開発元がチェックして納品しますが、注意していた部分とは別の部分に問題があったり、市販ツールでチェックして安心していたのに問題があったというケースもあります。特に市販ツールの一部には、チェック時間の短縮を図るために、脆弱点となりうる機能がなければ検査を行わない、というように効率化を図っているものがあり、現在の複雑なWebサイトでは、一部の機能を検査対象外として誤認識するなど、結果として脆弱性を見逃してしまう例を最近よく見かけるので注意が必要です」と浅田氏は指摘する。

セキュリティ確保が必要な対象

また、モバイルデバイスが多様になったことで、チェック対象が増えているという問題もある。

フィーチャーフォン専用、スマートフォン専用、タブレット専用など、各種デバイス向けのサイトを用意している場合、それぞれでチェックが必要だが、通常設定のままではPCからアクセスできないなど問題が多く、市販ツールでチェックする場合、一時的に設定を書き換えてアクセス可能にした上で診断を行うといった対処も必要となる。

「サーバやネットワーク機器とWebサイトを比較すると、圧倒的にWebサイトでセキュリティホールを抱えている例が多いのが実情です。これまで、一度も診断を受けていないのであれば、恐らく、そのサイトはセキュリティ上問題があります。依頼を受けた時点で、まず大まかに内容を確認しますが、その時点で怪しいと思われる箇所を発見することがよくあります。それだけセキュアなサイト構築は難しいのです」と浅田氏は語った。

ある期間におけるWebセキュリティ診断ホールの傾向

詳細なレポートと報告会が安全を支える

一般的な診断の場合、検出したセキュリティホールの一覧が提供されることが多い。しかし、それらの情報は整理されておらず実際の対策につなげることは難しい。しかし、「NetProtect」の場合、対処法が同じセキュリティホールをまとめるなど、実際の対策に役立つレポートが提供される。

さらに、グラフなどを利用してわかりやすく作られたレポートは、報告会という形でより詳細な説明が行われる。

「弊社の場合、クライアント企業の担当者だけでなく、実際にシステム構築を行うSIerの方にも同席してもらうことがよくあります。特にWebの場合は改修が難しいので、ぜひ同席していただきたいと思っています。私たちも図を描いたりしながら詳細に解説するのですが、実際に作業をする方と直接話した方がスムーズに対策できるメリットがあります」(浅田氏)

NTTアドバンステクノロジはあくまでも診断を行う立場で、診断にしたがって実際の対策を行うのは、クライアント企業のシステム担当やSIerだからだ。しかし、診断結果を報告したところで終わりではない。

「改修完了後は、リモートで問題点について再診断を行い、問題が解決されていることを確認するサービスも行っています」(浅田氏)

一度で満足せず定期的な診断を!

ただ、セキュリティ診断は一度受ければ大丈夫というわけではなく、折に触れて定期的に実施することが強く推奨されている。具体的には、一般的な企業の場合1年に一度は実施した方がよい。

「新たなシステムの場合、構築後公開前に一度診断を実施し、問題を解決してから公開すべきです。公開日が迫っている場合でも、問題点が見つかれば機能を段階的にリリースするなど、問題のある部分を修正してから公開するといった対応が取れます。また、大規模な更新を行った場合にも診断は必要です。それ以外は、年に一度セキュリティの棚卸という感覚で実施してほしいですね。扱っている情報の重要度やビジネスに対するセキュリティリスクからみえる影響度によって頻度に差は出てくるでしょうが、年に一度というのは最低限必要です」と浅田氏。

実際「NetProtect」の利用者は、リピーターが多いという。価格的には【IPネットワークセキュリティ診断】にも【Webセキュリティ診断】にもコンパクトな実施メニューが用意されているが、実際にはほとんどのクライアントは上位の診断メニューを利用するという。もちろん、予算に合わせたメニューのカスタマイズも可能だ。

「たとえば社内に大量のサーバがあるが、できるだけコストを絞りたいというような要望には、全く同じ設定のサーバが複数あるならば1台だけを診断してほかのサーバにも同じ対策を適用するなど、効果的に診断を行いながらも、しっかりセキュリティを確保できる方法をご提案します」と浅田氏はオーダーメイドの診断サービスの実施を促している。

最後に「まずは気軽にご相談いただければ」と浅田氏。一度、セキュリティ診断のプロに相談してみてはいかがだろうか。

NetProtectについて


NetProtectは、企業ITシステムのセキュリティを診断・監視・コンサルティングなどトータルにサポートするサービス。専門技術者の手作業で高レベルなWebセキュリティ診断を実現している。また、予算に応じたオーダーメイド診断にも対応。オンサイトでの診断レポート提供も実施するなど、導入から運用までの手厚いサポートが特徴となっている。

⇒詳細は、NetProtectのWebサイトへ