【特別対談】webサイトにも“安全性のテスト”を〜脆弱性診断のススメ〜

脆弱性とは、OSやアプリケーションなどにおける、設計上のミスやプログラムの不具合によって生じるセキュリティ上の欠陥のことである。これを放置しておくことは、いわば家のドアや窓の鍵が壊れた状態と同じで、システムへの侵入を簡単に許してしまうことになる。しかしながら、実は日本の多くの企業がこのような状態に置かれており、脆弱性に対するセキュリティ意識が低く十分な対策がなされていない。

本記事では、企業に向けたサイバーセキュリティ教育を実施するトライコーダの上野 宣氏と、脆弱性対策等のセキュリティソリューションを数多く提供するCore Security ジャパン カントリーマネージャー 新免泰幸氏の対談から、「日本における脆弱性対策の現状」と「いま、なすべき脆弱性対策」について探る。

• Core Security 新免 泰幸氏(左)とトライコーダ 上野 宣氏(右)

日本は、脆弱性診断をしていない企業があまりにも多い

新免氏
私たちCore Securityでは「Core Impact」という、ペネトレーションテスト(*1)を行うためのソリューションを提供しています。海外ではペネトレーションテストは一般的な言葉ですが、日本ではあまり知られていません。それどころか、脆弱性の有無を“診断する”こともあまり行われていない。セキュリティは経営課題の一つであるはずなのに、なかなかそこに意識がいかない。これは、非常にまずい状況なのではないかと危惧しています。

上野氏
一部の大手企業では、「レッドチーム(*2)」が行うようなペネトレーションテストについても興味を示していただいています。ただ、残念ながらそれは本当に一部であって、全体としてみれば、まだまだ意識は低いと言わざるを得ません。日本は「安全はタダ」と思っている方が多く、社内によほどセキュリティ意識が高い方がいない限り、ペネトレーションテストのような本格的なセキュリティ対策は後手に回ってしまう。

Webアプリケーションを公開している企業は、脆弱性診断をする“義務”がある

上野氏
脆弱性と聞くと、OSやソフトウェアのイメージが強いと思うのですが、これらについての脆弱性対策は、常に最新のバージョンにアップデートしておくことと、適切な設定を行うこと、この二つが主な対策です。一方で難しいのが、Webアプリケーションです。

現在、Webを利用してビジネスを行なっている企業で、Webアプリケーションを使用していない企業は皆無と言っていいでしょう。そしてWebアプリケーションは基本的に自社で用意した“二つとない一点物”なので、脆弱性があるかどうかの診断や最新版へのアップデートは自分でしなくてはなりません。

実は、世の中にある未知の脆弱性の多くが、Webアプリケーションに潜んでいると言われています。例えば大手のECサイトにWebアプリケーションの脆弱性があった場合、そこに会員登録している方々の個人情報が簡単に引き出されてしまう。ですから、企業だけじゃなくそれを利用する一般ユーザーの方々も、自分の身を守るために、脆弱性についてもっと理解を深めるべきなのです。

新免氏
Webアプリケーションの開発をアウトソースしている場合、発注しているエンドユーザーは「開発ベンダーの方で脆弱性のテストをしている」と考えているケースが多いと思いますが、実際はどうなのでしょうか。

上野氏
これまでは開発ベンダー側でテストをしているケースはほとんどなかったと思います。どうやってテストをしていいかもわからない、というのが正直なところでしょう。ただ、以前に行われた裁判で、「システムに脆弱性があった場合、発注者側から指示がなくても開発者側は必要なセキュリティ対策を講じる“義務”がある」という判決が出ました(*3)。ですから、これからの開発ベンダーは、否応無しに脆弱性診断のテストを行なって対策を実施しなくてはならなくなるでしょう。

新免氏
しかし、テストを行うにも、当然ですが費用の問題が生じます。開発ベンダー側のテストが積極的に行われなかった背景は、やはり費用面での負担が大きな要因だったのでしょうか。

上野氏
これは、費用というよりも「開発ベンダー自身で安全性を担保しなければならない」という問題意識の欠如だと思います。何かモノを作るときに、安全性を担保しようとすればお金がかかる。これは当たり前の話です。特にECサイトのような、一般のユーザーが使うようなWebアプリケーションについては、提供する側は脆弱性診断のテストをする義務があります。でなければ、大切な情報を危険にさらすわけですから。発注する側も受注する側も、そこは必要なコストとして認識しなければならないと思います。

*3：東京地方裁判所判決 平成23年(ワ)第32060号)
http://www.softic.or.jp/semi/2014/5_141113/op.pdf
出典:一般財団法人 ソフトウェア情報センター Webサイト

まずは、50％から始めてみましょう

新免氏
「日本人は完璧を求めすぎる」傾向が強すぎると思います。セキュリティは常に完全でなければならない、外部からの侵入は100%防がなければならない、脅威を100%取り除けなければ、対策の意味はないという考えです。ですが、セキュリティの世界に100％安全な環境というものはありません。残念ながら脅威の側が必ず一歩先を行っています。最近は少しずつそのあたりの認識が広がりだしているようには感じますが、まだまだ根強く残っているよう思います。

上野氏
誤解を恐れずに言えば、単に侵入されただけなら、それほど問題視することはありません。いわば、“会社の受付を通過された”くらいのものです。大切なのは、侵入されたあと大切な情報をどう守るのかという点です。そこまでの経路に、鍵が開いたままの扉がないか、もしくは把握していない入り口はないか、それを知るだけでも大きな進歩です。脆弱性診断やテストと聞くとなにか大変な作業だと感じるかもしれませんが、一言で言えば、どこが入り口でどこに鍵がかかっているのかを把握しようということなのです。現状が把握できれば、どう防ぐかの手段も見えてきます。

新免氏
脆弱性診断には、エンドユーザーがツールを使って脆弱性を見つける方法と、レッドチームのような専門家による攻撃テストがあります。今後はどちらが重視されるとお考えですか。

上野氏
どちらも重要だと考えています。例えばサイト上にPDFファイルがアップされていたとして、これが一般ユーザーにまで公開してよいものなのか、あるいは管理者しか閲覧してはいけないファイルなのか、ツールでは判断できません。脆弱性には、プログラム上の欠点の他に、設定や運用のミスから生じる脆弱性もあります。このような脆弱性は、人の手によるテストでなければ見つけられません。

先ほど例にあげた「絶対に侵入されてはいけない場所にある情報」については、100％に近い安全性を目指すためにも専門家によるテストが必要だと言えるでしょう。とは言え、専門家によるテストはどうしてもコストが大きくなってしまいます。「お金がかかる、だからやらない」では、いつまで経っても無防備なままです。

ですから、まずはツールを使って自分たちの手で現状を可視化することをおすすめします。世の中には安価な診断ツールがたくさんあります。中には無料のツールもあります。英語版しかなくて、少々設定が大変かもしれませんが。安価なツールであっても、それで50％の安全性が保てるのなら、十分に意味があります。

新免氏
脆弱性対策についてはエンドユーザーの情報システム部門でもできることはあると思っています。脆弱性診断やペネトレーションテストのツールは、今のところ専門家が使う難しくて特別な製品と見なされているようですが、ゆくゆくはエンドユーザーも自ら活用して、脆弱性対策を定常的に実施する運用が根付いて欲しいと考えています。ぜひ、上野さんのような方に、知見とノウハウを広げていただけると嬉しいですね。

上野氏
そうですね。私にとってセキュリティは天職だと思っているので、事業として広げて行くと同時に、社会への還元もしていきたいと考えています。例えば、弊社のWebサイトでは「Webシステムとアプリケーションのセキュリティ要件書」を公開しているのも、社会還元の一つとして考えています。これからもいろいろな情報を仕入れ、それを世の中に広げていきたい。それが、安全にインターネットを使える世界につながれば、私としても喜ばしいことです。

Webシステム／Webアプリケーションセキュリティ要件書
https://github.com/ueno1000/secreq

[PR]提供：Core Security