2018.11.13
/
経営

情報セキュリティ最前線【対談】WEBアプリケーションのセキュリティ診断(2/2) ~「問い合わせフォーム」が危ない?!~

(画像=みらい経営者 ONLINE編集部)
(画像=みらい経営者 ONLINE編集部)
(対談参加者)
・株式会社アルテミス ネットワーク調査部 木村智功 様
・株式会社アルテミス ネットワーク調査部 技術A様(ご本人様のご希望により非開示)
・株式会社アルテミス 社長室室長 経理部部長 武井宣春 様
・税理士法人みらいコンサルティング 波田野 恭平
・みらいコンサルティング株式会社 佐竹 伸

(記事の最後に株式会社アルテミス様からの特別プレゼントがございます)

WEBアプリの脆弱性(弱点)を放置することは危険

頻繁にマスコミで登場するような有名な脆弱性があります。攻撃者にとっても、当然有名なのですが、こういった狙われやすい脆弱性を放置して、それが引き金となったセキュリティ事故が非常に多いように感じます。実際にセキュリティ診断をしてみるといかがでしょうか?
 
全世界の全てのサイトを診断しているわけではないのですが、
「SQLインジェクション」は最近では比較的対応されていることが多い印象です。
「XSS(クロスサイトスクリプティング)」は SQLインジェクションに比べると若干対応の遅れが見られます。
「CSRF(クロスサイトリクエストフォージェリー)」は脆弱性が発見される確率が非常に高いです。現れてからもう10年は経過していますが、ちゃんと対策されていることが少ないです。
 
公開されているWEBアプリ(WEBページ)の数は非常に多いです。しかし診断の結果、ほぼ問題ない対応をしている企業は10%に満たない印象です。それ以外はリリース前のセキュリティテスト、定期セキュリティ診断も含め、あまりケアがされていない・・・という気がします。
 
漠然と素の状態からWEBアプリを書く(フルスクラッチする)ことは、今日では危険な行為だと言えます。どこに脆弱性が入り込んでしまうかわかりません。最近では各言語でのWEBアプリケーションフレームワークが出揃っているため、最低でもこういったものを利用して開発するべきです。
 
うーん。文言はかなり頻繁にマスコミでもみるのですが…
 
多くの企業様では「危ない」と漠然と理解されているとは思いますが、「何が、どう危ないのか」とか「攻撃者のトレンドが今はWEBアプリなんだ」ということについては認識されていないということでしょう。
例えばどの企業のHPでも「問い合わせフォーム」があり、かつ、狙われやすいWEBアプリですが、それを認識されていない企業様も多いのではないでしょうか。
 
ホームページを持っている企業様であれば、まずは、信頼できるセキュリティ診断を受けたほうが良いように思えますね。
 
どの業種のどの規模の企業も、WEBサイトにWEBアプリがあれば、攻撃のターゲットになり得ます。しかし、いざ「診断を受けよう」ということになっても、情報システムのSEからは診断の話は上げにくいというケースも珍しくないものと考えます。経営者層に「診断を受けよう」という意識を持って頂き、トップダウンで実施しないと解決しないのではないでしょうか。

エンジニアの実務

こういった情報セキュリティ脆弱性診断のお仕事の実態は中々イメージが沸きにくいのですが、本日はエンジニアの方にもお越しいただいておりますので、お仕事の内容を言える範囲で教えていただきたいと考えております。
 
業務は大きく「事前調査」「診断」に分けられます。
「事前調査」では、対象WEBサイト全体の理解と重要なページの識別を行います。ほとんど同じ内容のページを全て診断することはムダになります。
次に「診断」ですが、まずサイト全体を検証するツールを実行します(ツール類は秘匿、よくある自動の脆弱性診断はここで終了)。その後、重要なページに対して、補助的なツールを使いつつ、主に人力で詳細な診断を行います(詳細手順は秘匿)。その後レポートを作成いたします。
 
重要なページの絞込みや人力での診断などは経験やナレッジの蓄積がないとできないことですね。自動の診断のみですとレポートの形はできるのですが、深い階層は見ていないということもありますね。そこが御社のセキュリティ診断サービスの価値なんでしょうね。

エンジニアに聞く診断対象の傾向

やっぱり有名なWEBアプリやCMS(WEBを作るソフト)は優先的に狙われるのでしょうか?アングラ世界ではどのような動きがあるのでしょうか?
 
有名で利用頻度が高いCMSはそれだけセキュリティホールが研究され、狙われやすいです。内部構造的にセキュリティホールが多く存在し、頻繁にバージョンアップするプロダクトもありま
 
カスタマイズがしやすい分、それが仇になって弱点となってしまう場合も多いでしょう。最近ではCMSを使ったサイトがほぼ半分ぐらいになっており、当社ではCMSに特化した診断プランも開発中です。
 
攻撃者が狙っている情報としてはどういうものがあるのでしょうか?
 
攻撃者のほとんどは(違法な)ビジネスとしてセキュリティ侵害をおこなっているため、狙われやすい(攻撃者にとって)おいしい情報というのも推し量れます。
それは個人情報やクレジットカード情報です。必然的にそれらの情報が集まる、金融関連、ECサイトが狙い目になります。
 
なるほど。では情報セキュリティ対策が強い業界、弱い業界はありますか?
 
強いのは金融業界や巨大ECサイトでしょう。上述のように攻撃の脅威に晒されているため、セキュリティリスクに対して非常に敏感です。
逆に弱いほうは、特定な業界としては…。
 
あえてイメージで言うなら自治体でしょうか・・・
 
自治体は確かに国から村まで幅広いですからね。御社では国関連のセキュリティ診断の実績も多数ありますが、国は潤沢な予算があるので大丈夫ではないでしょうか?
 
うーん。結局入札があって、価格下げの圧力が働く傾向がありますので・・・。
 
・・・・・・・・・。
いやー本日は本当に勉強になりました!
 
ところでこの記事の読者の方々にプレゼントを用意いたしたのですが・・・
 
本当ですか!是非ご案内ください!
 
~株式会社アルテミスのWEBアプリケーション脆弱性診断を期間限定でご体験いただけます!~
通常1ページ4万円ですが【1ページ無料になります!】
・募集期間:(記事掲載日から)2019/3/31(日)まで
・応募方法
「問合せフォーム」ページ

https://www.artemis-jp.com/wp/contact/
にて、「お問合せ内容」に【みらいキャンペーン】のキーワードを添えてご連絡ください。

一同 本日はありがとうございました!!
PREV 情報セキュリティ最前線【対談】WEBアプリケーションのセキュリティ診断(1/2) ~本人ごとになっていない?!サイバ...
NEXT 顧客も従業員も満足する「価値経営」とは

関連記事