情報BOX 【 知って得するサイバーセキュリティ講座 】
第13回Webアプリケーションの脆弱性対策
2012年11月21日
前回までは、汎用ソフトウェアの脆弱性対策について説明してきましたが、ここからは、専用ソフトウェア、特にWebアプリケーションの脆弱性対策について説明したいと思います。
Webサイトを構築して、さまざまなサービスを利用者に提供することは、特別なことではなくなってきています。このような場合、複雑さの度合いはあれ、何かしらの専用ソフトウェアが開発され、利用者にサービスが提供されています
Webアプリケーションでは、データベースの検索にSQLスクリプト(※1)、ブラウザ側の画面コントロールにJavascriptが使われる場合が少なくありません。
このサービスに脆弱性が存在する場合、SQLインジェクション(※2)により利用者の個人情報が漏えいしたり、Javascriptインジェクションにより利用者が攻撃にさらされたりする危険があります。しかも、サービスの利用者すべてに影響が及ぶという性質を持っています。
専用ソフトウェアを開発し、利用者にサービスを提供するということは、それだけ、社会的な責任も重くなると言えます。
Webアプリケーションの場合、よほど大きなサービスでない限り、汎用ソフトウェアの開発と比べて、かけられる費用や工数が少なく、開発者の技術力も低い場合が見受けられます。そのため、初歩的な脆弱性が残されやすく、また発見されずに放置されやすいという特徴があります。
Webアプリケーションの脆弱性対策を行う場合、2つの方法が考えられます。一つは、攻撃がネットワーク経由で行われるため、ネットワークを経由した攻撃の検知や防御を固める方法です。この詳細については、後日の連載で解説いたします。
もう一つは、“ペネトレーション・テスト”(※3)による脆弱性診断を徹底することです。
Webアプリケーションに対して、過去に行われた既知の攻撃パターンを総当たりで試すなどして、脆弱性が存在しないか診断を行います。
ペネトレーション・テストを行うためには、攻撃者がどのように攻撃を行うか、また、どのような脆弱性が存在する可能性があるかをよく知っている必要があります。そのため、開発者とは別の、セキュリティの専門会社に、“脆弱性診断サービス”を依頼しなければなりません。
(※1)スクリプト…機械語への変更作業を省略して簡単に実行出来るようにした簡易プログラム。
(※2)SQLインジェクション…Webアプリケーションに対する攻撃手法の一つで、SQLを使って不正にデータベースを操作することを目的としている。SQLとはデータベースを操作するために一般的に使われている言語。
(※3)ペネトレーション・テスト…第10回「サイバー攻撃を受けたら何をするべきか【4】」をご参照下さい。
◆ 次回は「Webアプリケーションのセキュリティ設計」についてお届けします。
セミナー講演のご依頼・お問い合わせはこちらから。
過去の記事一覧
- 2011年11月1日 第1回 サイバースペースのセキュリティ
- 2011年12月20日 第2回 なぜサイバーセキュリティが必要か?
- 2012年1月25日 第3回 サイバーセキュリティの意義
- 2012年2月29日 第4回 エラーとバグと脆弱性
- 2012年3月23日 第5回 権限と脆弱性
- 2012年4月12日 第6回 人間の持つ脆弱性
- 2012年5月24日 第7回 サイバー攻撃を受けたら何をするべきか【1】
- 2012年6月27日 第8回 サイバー攻撃を受けたら何をするべきか【2】
- 2012年7月26日 第9回 サイバー攻撃を受けたら何をするべきか【3】
- 2012年8月22日 第10回 サイバー攻撃を受けたら何をするべきか【4】
- 2012年9月19日 第11回 汎用ソフトウェアの脆弱性対策
- 2012年10月17日 第12回 ゼロデイ攻撃・標的型攻撃と新型ウイルス対策
- 2012年11月21日 第13回 Webアプリケーションの脆弱性対策
- 2012年12月19日 第14回 Webアプリケーションのセキュリティ設計
- 2013年1月23日 第15回 サイバーセキュリティを実現する
- 2013年2月20日 第16回 デジタルフォレンジックスの導入
- 2013年3月26日 第17回 情報漏洩対策
- 2013年4月24日 第18回 メールの添付ファイル禁止とファイル送信サービス
- 2013年5月22日 第19回 私物モバイル対策(BYOD対策)
- 2013年6月19日 第20回 新型サイバー攻撃には多層防御で対抗する
- 2013年7月23日 第21回 マスコミ社会から口コミ社会へ
- 2013年8月22日 第22回 批判にさらされる企業
- 2013年9月26日 第23回 サイバースペース上での企業の責任を知る
- 2013年10月23日 第24回 顧客の情報を預かる責任
- 2013年11月20日 第25回 個人情報取得のポリシー
- 2013年12月18日 第26回 即応性の危機管理広報
- 2014年1月6日 第27回 情報という経営資源を守れ
- 2014年2月19日 第28回 利用者中心のサイバーセキュリティへ向けて
- 2014年3月13日 第29回 安全・安心なサイバー社会の実現(最終回)