TOP情報セキュリティ> セキュリティ診断の概要
crack
クラッカーから企業Webサイトを守り抜け!

第1回:Webサイトのセキュリティの実態
著者:NRIセキュアテクノロジーズ  鴨志田 昭輝   2006/9/28
前のページ  1  2   3  次のページ
セキュリティ診断の概要

   セキュリティ診断サービスは、Webサイトの運営企業から依頼を受け、Webサイトに潜むセキュリティ上の問題を発見し、安全性を評価するサービスです。サイト攻撃者(いわゆるクラッカー)と同じ条件・手法で、Webサイトの外部からセキュリティ上の問題点を探すところに特徴があります。今回は、企業が独自に作成したWebアプリケーションを対象とした「Webアプリケーション診断」の結果を分析しました。

   特にWebアプリケーションに対するセキュリティ診断は、その大部分が手作業ということもあり、診断を実施する担当者の技術レベルによって、結果が大きく変わってくる点に注意が必要です。NRIセキュアテクノロジーズのセキュリティ診断サービスの場合、診断の質を保証するために、次の条件を満たしたコンサルタントがメイン担当として診断を実施しています。

  • セキュリティ診断の経験が2年以上
  • 過去に100システム以上の診断を担当
  • 米国SANS Institute(注1)が主催する専門的なトレーニングコースを修了

表1:コンサルタントの条件

注1: SANS InstituteのWebサイト
http://www.sans.org/

   つまり今回の分析結果は、専門的な知識を十分身につけているサイト攻撃者が、診断対象のWebサイトに攻撃を仕掛けるという状態で起こりうることを明らかにしたものといえます。Webサイトをインターネットで公開している限り、こうしたレベルの高い攻撃者に狙われるリスクは決して少ないとはいえません。


診断対象のWebサイト

   筆者らは、2005年度(2005年4月1日〜2006年3月31日)に167のWebサイトに対してセキュリティ診断(Webアプリケーション診断)を実施しました。2004年度の実績101件に比べると、件数は1.6倍以上になっています。2005年に発生した大規模な不正アクセス事件を契機に、企業・官公庁の業種や規模を問わず、専門家によるセキュリティ診断の必要性の認知が広まったことが要因の1つだと考えられます。

   診断対象となった167のWebサイトの運営主体の属性は図1の通りです。多くの企業・官公庁ではWebサイトの開発・運用を外部にアウトソースしていますが、その場合はアウトソース元の企業の属性を集計しています。また、1つの企業・官公庁のWebサイトに対して診断を実施している場合は、Webサイトの数だけ属性を複数回集計しています。

診断対象Webサイトの運営主体の属性
図1:診断対象Webサイトの運営主体の属性


分析結果

   2005年度に実施したセキュリティ診断の結果、50%のWebサイトで他のユーザの個人情報をはじめとする重要情報に不正にアクセスできる問題を発見しました。この割合は、その前の1年間の結果と比べてもほぼ同じ(わずかに増加)であり、多くのWebサイトが危険な状態のまま運営されている状況は好転してないと考えられます。

   また29%のWebサイトでは、重要情報に不正にアクセスすることはできませんでしたが、情報漏洩に繋がる可能性のある問題を発見しました。

Webサイトのセキュリティ診断の実施結果
図2:Webサイトのセキュリティ診断の実施結果

   なお、ここでの「重要情報」とは、診断対象のWebサイトの特性を考慮したうえで、特定の正規ユーザのみにアクセスが制限されるべき情報を指しています。

   また、「重要情報に不正にアクセスできた」ケースは、特定のパターンのセキュリティ上の問題(SQLインジェクション脆弱性など)が存在したケースではなく、不正な手段で重要情報を実際に取得できたケースを指しています。

   「情報漏洩に繋がる可能性がある」ケースは、不正な手段で重要情報を実際には取得できなかったが、いくつかの条件が重なれば情報漏洩に繋がる可能性のある問題(クロスサイトスクリプティング脆弱性やアカウントロックがないなど)が発見されたケースを指しています。

前のページ  1  2   3  次のページ


NRIセキュアテクノロジーズ 鴨志田 昭輝
著者プロフィール
NRIセキュアテクノロジーズ株式会社   鴨志田 昭輝
コンサルティング事業部 セキュリティコンサルタント
電機メーカーの研究所を経て、2001年に野村総合研究所に入社し、NRIセキュアテクノロジーズに出向。2002年頃からセキュリティ診断に携わり、200件以上のWebサイトのセキュリティを診断を担当。CISSP(情報システム・セキュリティ・プロフェッショナル)、CISA(公認情報システム監査人)、CAIS-Lead Auditor(公認情報セキュリティ主任監査人)、GCFA(GIAC公認フォレンジック・アナリスト)。


INDEX
第1回:Webサイトのセキュリティの実態
  ESBとは
セキュリティ診断の概要
  Webサイトのセキュリティの実態