TOP情報セキュリティ> Webサイトのセキュリティの実態
crack
クラッカーから企業Webサイトを守り抜け!

第1回:Webサイトのセキュリティの実態
著者:NRIセキュアテクノロジーズ  鴨志田 昭輝   2006/9/28
前のページ  1  2  3
Webサイトのセキュリティの実態

   このように、数多くのWebサイトに致命的な欠陥があり、一般的に考えられている以上にWebサイトのセキュリティは脆弱であることがわかりました。実際、金融機関が運営するWebサイトであっても、かなりの割合で致命的な欠陥が存在していました。

   Webサイトにこうした致命的な欠陥が存在した原因は、それぞれのWebサイトごとに異なるため、一概に特定できるものではありません。しかし次にあげるような原因は、こうした問題が発見されたWebサイトに共通して、比較的多く見受けられました。

  • 外部の開発ベンダーとの保守契約がなく、数年前にWebサイトを開発した後、メンテナンスをまったく行っていない。このため、SQLインジェクションといった攻撃手法による被害が数多く報道されたにも関わらず、対策が行われていない

  • Webサイトの設計・開発を外部のベンダーにすべて委託しており、セキュリティ対策の責任の所在もあいまいになっている。受託したベンダーにセキュリティに詳しい担当者がいないため、必要なセキュリティ対策が行われていない

  • Webサイトの開発にあたり、(セキュリティ面の)要求仕様がなく、また開発者が守るべき基準(ガイドラインなど)もない。このため、同じ企業が運営するWebサイトであっても、担当した社員の意識や知識によってセキュリティ対策状況に大きな差がある

  • ユーザの利便性を必要以上に重視した結果、セキュリティ上の問題が発生している。具体的には、パスワードの最小文字数が少ない、メールアドレスや生年月日といった推測されやすい情報を利用した認証(あるいはパスワードリマインダ)方式などがあげられる

表2:欠陥のあったWebサイトに比較的多く見受けられた原因


まとめ

   近年、Webサイトへの不正アクセス事件が急増している背景には、このようにWebサイトのセキュリティに十分な注意が払われず、致命的な欠陥を抱えたまま運営されているWebサイトが数多く存在すると考えられます。開発中もしくは最近公開されたWebサイトに比べると、過去に開発されたWebサイトのセキュリティ対策は見落とされがちです。しかし、危険度の高い問題はこのような古いシステムに多く発見される傾向にあるため、特に注意が必要です。

   とはいえ、Webサイトのセキュリティ対策は、日々進化する攻撃手法に対応しなければならず、また1箇所でも対策漏れがあると大きな問題に繋がることもあることから、専門的かつ困難な作業です。適切かつ効率的に対策を進めるためには、まずは専門家によるセキュリティ診断などの方法で問題点を発見し、致命的な問題から対策を進めていくことが必要だと考えられます。

   実際、セキュリティ診断によってこれらの問題が発見されたWebサイトについては、NRIセキュアテクノロジーズから診断結果と共に具体的な対策案を提示し、早急に対策を実施するよう強く促しています。その結果、ほとんどのWebサイトで適切な対策が実施され、現在は安全な状態になっていると推測されます。

   次回は、多くのWebサイトに共通して発見されている問題を中心に、外部からの攻撃手法とその対策について解説します。

前のページ  1  2  3


NRIセキュアテクノロジーズ 鴨志田 昭輝
著者プロフィール
NRIセキュアテクノロジーズ株式会社   鴨志田 昭輝
コンサルティング事業部 セキュリティコンサルタント
電機メーカーの研究所を経て、2001年に野村総合研究所に入社し、NRIセキュアテクノロジーズに出向。2002年頃からセキュリティ診断に携わり、200件以上のWebサイトのセキュリティを診断を担当。CISSP(情報システム・セキュリティ・プロフェッショナル)、CISA(公認情報システム監査人)、CAIS-Lead Auditor(公認情報セキュリティ主任監査人)、GCFA(GIAC公認フォレンジック・アナリスト)。


INDEX
第1回:Webサイトのセキュリティの実態
  ESBとは
  セキュリティ診断の概要
Webサイトのセキュリティの実態