トーテックアメニティ株式会社

http://www.totec.jp/

製品・サービス情報

情報BOX 【 知って得するサイバーセキュリティ講座 】

第13回Webアプリケーションの脆弱性対策

2012年11月21日

前回までは、汎用ソフトウェアの脆弱性対策について説明してきましたが、ここからは、専用ソフトウェア、特にWebアプリケーションの脆弱性対策について説明したいと思います。

Webサイトを構築して、さまざまなサービスを利用者に提供することは、特別なことではなくなってきています。このような場合、複雑さの度合いはあれ、何かしらの専用ソフトウェアが開発され、利用者にサービスが提供されています

Webアプリケーションでは、データベースの検索にSQLスクリプト(※1)、ブラウザ側の画面コントロールにJavascriptが使われる場合が少なくありません。

このサービスに脆弱性が存在する場合、SQLインジェクション(※2)により利用者の個人情報が漏えいしたり、Javascriptインジェクションにより利用者が攻撃にさらされたりする危険があります。しかも、サービスの利用者すべてに影響が及ぶという性質を持っています。

専用ソフトウェアを開発し、利用者にサービスを提供するということは、それだけ、社会的な責任も重くなると言えます。

Webアプリケーションの場合、よほど大きなサービスでない限り、汎用ソフトウェアの開発と比べて、かけられる費用や工数が少なく、開発者の技術力も低い場合が見受けられます。そのため、初歩的な脆弱性が残されやすく、また発見されずに放置されやすいという特徴があります。

Webアプリケーションの脆弱性対策を行う場合、2つの方法が考えられます。一つは、攻撃がネットワーク経由で行われるため、ネットワークを経由した攻撃の検知や防御を固める方法です。この詳細については、後日の連載で解説いたします。

もう一つは、“ペネトレーション・テスト”(※3)による脆弱性診断を徹底することです。

Webアプリケーションに対して、過去に行われた既知の攻撃パターンを総当たりで試すなどして、脆弱性が存在しないか診断を行います。

ペネトレーション・テストを行うためには、攻撃者がどのように攻撃を行うか、また、どのような脆弱性が存在する可能性があるかをよく知っている必要があります。そのため、開発者とは別の、セキュリティの専門会社に、“脆弱性診断サービス”を依頼しなければなりません。

(※1)スクリプト…機械語への変更作業を省略して簡単に実行出来るようにした簡易プログラム。

(※2)SQLインジェクション…Webアプリケーションに対する攻撃手法の一つで、SQLを使って不正にデータベースを操作することを目的としている。SQLとはデータベースを操作するために一般的に使われている言語。

(※3)ペネトレーション・テスト…第10回「サイバー攻撃を受けたら何をするべきか【4】」をご参照下さい。

前号へ

◆ 次回は「Webアプリケーションのセキュリティ設計」についてお届けします。

セミナー講演のご依頼・お問い合わせはこちらから。

お問い合わせフォーム

過去の記事一覧

このページのトップへ

企業情報
社長挨拶
会社方針
会社概要
会社組織図
沿革
社名の由来
拠点
福利厚生
関連サイト
健康経営宣言
SDGsの取り組み
福利厚生ブログ「TOTEC BENEFIT BLOG」
協賛ブログ「TOTEC SPONSOR PRESS」
事業内容
製品・サービス情報

TOTEC AMENITY LIMITED. All Rights Reserved. since2006.