PR

知らないから漏えいする! 経費節約時代のセキュリティ対策

2010年11月10日(水)
近藤 伸明

本連載では、セキュリティ診断の現場から、「Webサイト運営者と開発者に送る、今どきのセキュリティ対策」について、3回にわたって解説します。

第1回: 知らないから漏えいする! 経費節約時代のセキュリティ対策
発注時のちょっとした工夫でできる対策、お金をかけない対策のツボを解説。
第2回: やってみなけりゃ分からない? WAFの「活用メリット」と「落とし穴」
WAFは一歩間違えればただの箱。現場のみが知る活用術を解説。
第3回: 診断の現場からの提言! Webサイトに潜む脆弱性個所
リリース前に再チェックしたい、脆弱(ぜいじゃく)性が作り込まれる個所を指摘。

景気低迷の中、Webサイトのセキュリティ対策に十分な費用をかけることが難しい時期ですが、いまだにWebサイトの脆弱性を攻撃されて情報漏えいを起こした事件が絶えません。

限られた予算の中で最大限の効果が求められています。今回は、こうしたWebサイト管理者・開発者に向けて、案外簡単な、発注時に押さえるだけで情報漏えいのリスクが大きく減少するポイントを紹介します。

(1)発注時のポイント

これからWebサイトの開発に着手する方は、幸運です。なぜなら、まだあなたのWebサイトには、脆弱性が作り込まれていないからです。

Webサイトの開発を社外へ発注する人に伝えたいことがあります。発注前に「セキュリティ要件定義」を決めることが必須だということです。

「セキュリティ要件定義」と言うと、「何か難しそう」とか「専門家を雇うお金もないし、うちの会社では無理」と考える人もいるでしょう。

確かに、「セキュリティ要件定義」を自社で一から作ることは大変です。時間も労力もかかります。

「今から、Webサイトの構築を発注したい。けれど、技術も、お金も、時間もない」。こうした人に勧めたいのが、契約時に、独立行政法人情報処理推進機構(IPA)が公開している『安全なWebサイトの作り方』を利用する対策です。

『安全なWebサイトの作り方』(IPA)の使い方

経済産業省の外郭団体であるIPAから、Webサイトを構築する際に必要となるセキュリティ対策の内容が『安全なWebサイトの作り方』として公開されています。

  • 『安全なウェブサイトの作り方』
    • 安全なウェブサイトの作り方(PDF形式、全92ページ、2.09MB)
    • セキュリティ実装チェックリスト(Excel形式、33KB)
  • 別冊『安全なSQLの呼び出し方』
    • 安全なSQLの呼び出し方(PDF形式、全40ページ、714KB)

などを、ダウンロードできます。

ダウンロードした『安全なウェブサイトの作り方』(PDF文書)を、「セキュリティ要件定義書」の代わりに利用するやり方を勧めます。Webサイトの開発契約を締結(もしくは発注)する際に契約書に添付し、契約書の条項の一文に「IPAの『安全なWebサイトの作り方』に準じたセキュリティ対策を実施すること」と記載するとよいでしょう。

別冊『安全なSQLの呼び出し方』も、併せて契約書に添付するとよいでしょう。同時に、『安全なウェブサイトの作り方』(チェック・リスト)にチェックを入れたものを納品してもらえば、最低限の要件は確保できるはずです。

『安全なウェブサイトの作り方』(セキュリティ実装チェックリスト) - IPA
図1: Webアプリケーションのセキュリティ実装に関するチェックリストの一部(クリックで拡大)


このように、これらのドキュメントを契約時に利用することによって、開発会社は『安全なWebサイトの作り方』に記載されたセキュリティ対策を実施しなければならなくなります。完成するWebサイトが一定のセキュリティ品質レベルを満たすことが期待できます。

とはいえ、『安全なWebサイトの作り方』は、Webサイトの構築に焦点を絞っており、汎用的ではありません。このため、実際の運用の際には、これだけでは足りません(例えば、物理的なセキュリティ問題や、体制・教育の問題などについては、書かれていません)。

当然、これだけに頼るのは危険です。あくまでも、セキュリティ対策の第一歩として捉えるべきです。これまでセキュリティ対策を実施したことがないサイト運営企業が、これをきっかけにセキュリティ対策の必要性に気づくようになるとよいと思います。

もっとも、契約時にセキュリティ要件を提示することで、開発を担当する協力会社が提示する見積額が変わるのは止むを得ません。しかし、極端に見積金額が変わる協力会社には要注意です。なぜなら、見積時にセキュリティ対策を十分に想定していなかったことを意味するからです。こうした会社の場合、付け焼き刃的に『安全なWebサイトの作り方』に沿ってWebサイトを構築したとしても、セキュリティ対策の漏れや間違いなど、どこかしらボロが出てくるものです。

日ごろからセキュリティを意識して開発を手がけている協力会社であれば、きっと「その程度なら同等金額で大丈夫です」と言ってもらえるはずです。

株式会社神戸デジタル・ラボ

2003年神戸デジタル・ラボに入社。
2007年からWebセキュリティ診断業務を事業化し、現在に至る。
2008年4月に経済産業省から発表された「モデル取引・契約書(追補版)」のセキュリティガイドライン ワーキング・グループ委員として「Web アプリケーションセキュリティ」を担当。
2010年10月、CSS2010にてセキュリティ関連論文を発表するなど、診断業務のかたわらセキュリティ基盤研究開発業務に活躍中。

連載バックナンバー

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています