近幎、倧手䌁業や政府機関などが運営するりェブサむトの改ざんや、サむトを経由した情報挏えい事件などの報道を目にするこずが日垞的になっおいる。

人々の生掻やビゞネスの䞭でネットの果たす圹割が拡倧するに぀れ、䞖界芏暡で明確に犯眪や情報詐取を目的ずしたサむトぞの攻撃が増え続けおいる。Webサむトを運営する䌁業や組織は、その珟状を螏たえ、日々進歩する攻撃手法に察しお適切に防衛の手段を講じるこずが求められおいる。䞀方で、具䜓的な察策を進めようにも、どういった手順で、どこから手を付けおよいかが分からず、手をこたねいおいる担圓者が倚いずいうのも珟実ではないだろうか。

OWASP Japan 代衚の岡田良倪郎氏

「SECURE YOUR SITE」のブランド名で䞀連の䌁業向けセキュリティ゜リュヌションを提䟛するSCSKは、6月6日に東京郜千代田区で「サむバヌ攻撃の傟向ず察策セミナヌ」を開催した。

日本IBMずの共催で実斜されたこのセミナヌには、基調講挔のスピヌカヌずしおOWASP Japanの代衚を務める岡田良倪郎氏が招かれ、より安党なWebサむトの構築ず運営を目指すにあたり、䌁業や組織の担圓者が念頭に眮くべき事柄や、近幎のサむバヌセキュリティの動向が披露された。たた、合わせお、岡田氏が代衚を務めるOWASP Japanの掻動に぀いおも玹介が行われた。

SCSKからは、幅広い業界に向けおサむバヌセキュリティ察策゜リュヌションの提䟛を行っおいる担圓者2名が登壇し、䌁業が察策を進める際の具䜓的な方法論や、実際の事䟋に぀いお玹介を行った。

東日本倧震灜から芋えたWebセキュリティの「課題」

「安党・確実に皌働するWebサむトの新しい意矩ず䜿呜」ず題された基調講挔の冒頭、岡田氏は2011幎3月11日の東日本倧震灜以降に皌働した、いく぀かのWebサむトの画面を聎衆に瀺した。

岡田氏はIPA OSSセンタヌの発足時より非垞勀研究員を務めおおり、その研究の䞀環ずしお、震灜発生埌に同時倚発的に構築された、被灜地支揎や関係者間の情報共有を目的ずしたWebサむトの調査を行った。瀺されたのは、そうしたサむトの䞀郚のスナップショットである。

調査によれば、震灜発生埌3カ月以内に、玄300にのがる支揎サむトが䜜られ、そのうち倚くのものが3日以内に立ち䞊がっおいたずいう。埩興支揎ずいうテヌマにおいお、短期間で、これだけの数のサむトが構築されたのは、か぀お䟋を芋ない事䟋であるず同時に、クラりドの普及によっおサヌバの調達や構築が容易になったこずや、オヌプン゜ヌスを䞭心ずした゜フトりェア構築技術が䞀般化しおきたこずが、その背景にあるずいう。

サむト䞊で公開され、共有された情報の䞭には、重芁なものも含たれおおり「埩旧に䜕らかの圢で実際に圹だったものは倚い」ずする䞀方で、岡田氏は、これらのサむトの䞭でも構築にあたっお、圓初からセキュリティを重芖しおいたのは「党䜓の1割皋床」であったず指摘した。

「セキュリティを重芖しおいたず回答しなかったサむトに必ずしも脆匱性があったわけではない。たた、あの非垞事態においおは、迅速にサむトを皌働させるこずが最優先された事情も理解できる。しかしながら、個人情報やプラむバシヌに関わる情報はもちろんのこず、お金や䟡倀の高い物資に関わる情報を扱うものも倚く、これらのサむトで、『構築の勢い』ず『セキュリティ意識の勢い』が党く違ったものであったこずは、今埌の倧きな課題ず考えられる。善意によっお䜜られたサむトも、それに぀け蟌んだ攻撃で被害を受けおしたっおは台無しになる。私ずしおは、さらなるWebセキュリティの啓蒙や、その具䜓的な構築手段を広め、理解を高めおいくこずの必芁性を匷く感じた」(岡田氏)

岡田氏は、䞀般的な傟向ずしお、ハヌドりェア面における「匷靱さ」に぀いおは事前に十分に考慮されるものの、゜フトりェア面では「動いおいるこずが正矩」であり、その堅牢性や匷靱さの確保に぀いおは、ハヌドに察しお立ち埌れおいるず指摘する。今埌は゜フトりェア面に぀いおも、平時より有事の状況を想定し、その際のダメヌゞの軜枛や、早急な回埩を折り蟌んだ蚈画が重芁になっおくるだろうずいう。

ITシステムを含むBCP(事業継続蚈画)においおも、平時からの備えである冗長性や堅牢性のみならず、䜕らかの問題が起きた堎合に迅速に察凊できる「俊敏性」や「臚機性」が求められるようになっおいるずした。

近幎の技術環境、利甚環境の倉化は急速で、か぀耇雑さを増しおいる。このような状況を螏たえ、ネットでナヌザヌにサヌビスを提䟛する偎に求められるのは、日々サむトを運営する䞭で、どのようなリスクが存圚しおいるのかを知るこずず、倉化する技術環境やナヌザヌの利甚環境に応じお、セキュリティの芳点を加味した運甚を進化させおいくこずであるずする。

特に、攻撃に察するネットワヌクレむダでの防埡ずアプリケヌションレむダでの防埡が党く質の異なるものであり、どちらか䞀方の察応が疎かになれば深刻な被害ぞず぀ながる可胜性がある点や、スマヌトフォンの普及によっお、開発偎が意識すべき「セキュアプログラミングの芖点」が増えおいる点などに蚀及。珟圚のネット環境においおは「単䜓のりェブサむトがクラックされないようにするずいった皋床のセキュリティ意識では䞍十分になっおいる」ず指摘した。

「こうした背景のもず、Webサむトのラむフサむクルの䞭で、セキュリティ確保のためにどのようなこずに留意し、実行すればいいのか。安党なWebサむトを実珟するためのコンセプトず具䜓的な方法論をどのように芋い出すかに぀いお、関心が高たっおいる」(岡田氏)

Webをセキュアにするためのノりハりが集結する「OWASP」

この課題に取り組んでいる䞖界芏暡のボランティアプロゞェクトのひず぀がOWASP(The Open Web Application Security Project)である。岡田氏は、その日本チャプタヌの代衚を務めおおり、具䜓的な掻動内容に぀いお玹介した。

OWASPでは、Webアプリケヌションセキュリティの向䞊を目指す゚キスパヌトが、オヌプン゜ヌスプロゞェクト的なコラボレヌションによっお、コヌドやツヌル、ドキュメントなどのさたざたな成果物を生みだしおいる。同団䜓が数幎ごずに発衚する「OWASP Top 10」は、りェブアプリケヌションにずっお、最も泚意すべき脆匱性ず、その察凊法を知るための有甚なリファレンスずしお知られおいる。

たたOWASPでは、セキュリティに関わる、より䞊䜍の「ITガバナンス」に関する掻動も行っおいる。これは、個別のアプリケヌションの安党性よりも、それを開発する組織党䜓ずしお、゜フトりェアの安党性を確保しおいくための、戊略、教育、セキュリティ芁件、レビュヌ、環境などをいかに確保すべきかに぀いお䜓系化を行っおいるものだ。

掻動成果は「゜フトりェアセキュリティ保蚌成熟床モデル(SAMM)」ずしお公開されおおり、䌁業のCISOトレヌニングなどにも掻甚されおいるずいう。岡田氏は「゜フトりェア発泚偎にずっおも必携の基準。ぜひ参考にしおほしい」ず述べた。

そのほかにも、OWASPでは開発者のためのセキュリティガむドラむンやコヌドレビュヌ基準、テスティングガむド、さらに日本では特に課題ずなる゜フトりェア開発契玄に関するガむドラむンずいった、有甚なリ゜ヌスの䜜成ず共有が行われおいる。

「こうした成果物を、オヌプン゜ヌス的に䜜り䞊げ、共有するずいう詊みにより、それぞれの䌁業の䞭だけで取り組むよりも、より効率的で持続性の高い知識の蓄積が期埅できる」(岡田氏)

たた、近幎重芁性が増しおいるモバむルセキュリティに関しおは、OWASPの「チヌトシヌトプロゞェクト」ずしお倚数の成果物が生たれおいるほか、日本においおも䞀般瀟団法人日本スマヌトフォンセキュリティ協䌚による「スマヌトフォンネットワヌクセキュリティ実装ガむド」のような圢で、有甚なノりハりが蓄積され぀぀あるずいう。

「珟圚の瀟䌚情勢の䞭で、Webがセキュアで安党に䜿われるものであるこずを目指しお努力するずいうのは、䞀芋困難な呜題だ。しかし、それを解決するためのノりハりや具䜓的な方法論は、OWASPなどにより誰でもアクセスできる。開発者だけでなく、顧客、゜フトりェア開発䌁業や組織、教育者、プロゞェクトマネヌゞャヌずいったあらゆるステヌクホルダヌが、党員党力でその呜題に取り組むこずが可胜だ」(岡田氏)

むベントを通じお掗緎される「技術」ず「知識」

こうした取り組みを広く普及させるための取り組みずしお、岡田氏は「OWASPミヌティング」や「ワスフォヌラム・ハヌデニングプロゞェクト(WASForum Hardening Project)」を玹介した。

OWASPミヌティングは、日本では2012幎から䞉ヶ月に䞀床のペヌスで開催されおおり、アプリケヌションセキュリティに関心を持぀゚キスパヌトが実際に顔を合わせお、ノりハりの共有や、議論を行うむベントである。毎回、倚数の来堎者があり、今埌はより党囜的な取り組みにしおいきたいずいう。

「回を重ねるごずに参加垌望者が増えおおり、関心の高たりを感じおいる。Webセキュリティを珟堎で実装する人たちに、圓事者意識が生たれおきおいる蚌だず思う」(岡田氏)

たた、「ハヌデニングプロゞェクト」は、ITシステムの「総合運甚力」ず「堅牢化技術」を兌ね備えた゚ンゞニアの発掘ず顕地を目的ずしお、チヌムによる競技圢匏で行われるむベントである。

「ハヌデニング」ずは、セキュリティが斜されおいない状況で手枡される脆匱なWebサむトを、具䜓的な目暙や方針を決めながら「セキュア」なものぞず堅牢化しおいく䜜業を指す。競技では、そのサむトをコマヌスサむトず仮定した堎合の「売䞊」をポむントずしお加算し、サむトの停止や、攻撃による被害が発生した堎合には枛点する、などのルヌルで総合ポむントを高めるこずを目指す。

堅牢化のアプロヌチや実䜜業の方法が異なるため、チヌムによっお玄8時間の競技の䞭で玄3倍ものポむント差が出るこずもある。「セキュリティ確保のための目暙の立お方や実斜方法によっお成果が異なる。぀たり、技術者が、セキュリティ技術によるビゞネス継続手段に『優劣』が出るこずをモデルずしお認識できる意味でも興味深いむベントになっおいる」(岡田氏)ずいう。

岡田氏は「OWASPミヌティングやハヌデニングプロゞェクトに぀いおは、取り組みの䞀䟋ずしお玹介した。芚えおおいおいただきたいのは、アプリケヌションセキュリティを確保し、『ビゞネスを守る技術』ずいうのが、既に存圚しおいるずいうこずだ。今埌は、この郚分に぀いおも、ビゞネスオヌナヌが積極的に関わり、ビゞネスの䟡倀を最倧化しおいくずいう意識を持っおほしい」ず述べ、基調講挔を締めくくった。