図1●セキュリティ対策支援サービスの例<br>2005年5月以降,カカクコム,スターツ出版,静岡新聞社などのWebサイトで不正アクセス事件が相次ぎ発生したことで,「(1)Webアプリケーションの脆弱性診断」「(2)侵害されてしまった場合の対策指南」「(3)堅牢なシステムを作るための教育支援」といったセキュリティ対策支援サービスに注目が集まっている
図1●セキュリティ対策支援サービスの例<br>2005年5月以降,カカクコム,スターツ出版,静岡新聞社などのWebサイトで不正アクセス事件が相次ぎ発生したことで,「(1)Webアプリケーションの脆弱性診断」「(2)侵害されてしまった場合の対策指南」「(3)堅牢なシステムを作るための教育支援」といったセキュリティ対策支援サービスに注目が集まっている
[画像のクリックで拡大表示]
図2●Webアプリケーション診断サービスの作業の流れ&lt;br&gt;NRIセキュアテクノロジーズの診断サービスを基に作成。サービスを選定する際に注意すべきポイントは,検査対象の洗い出しに伴う画面のカウント方法(ポイント1)と,診断結果の報告内容(ポイント2)の2点。内容を確認した上で,自社に適したサービスを選定したい
図2●Webアプリケーション診断サービスの作業の流れ<br>NRIセキュアテクノロジーズの診断サービスを基に作成。サービスを選定する際に注意すべきポイントは,検査対象の洗い出しに伴う画面のカウント方法(ポイント1)と,診断結果の報告内容(ポイント2)の2点。内容を確認した上で,自社に適したサービスを選定したい
[画像のクリックで拡大表示]
図3●ラックが提供する「個人情報119」サービスの概要&lt;br&gt;2005年5月25日に起きた「OZmall」サイトへの不正アクセス事件の際,同サイトを運営するスターツ出版が利用した。同サービスの費用は,(1)初動対応が100万円から,(1)初動対応に(2)調査/分析を含めると500万円から
図3●ラックが提供する「個人情報119」サービスの概要<br>2005年5月25日に起きた「OZmall」サイトへの不正アクセス事件の際,同サイトを運営するスターツ出版が利用した。同サービスの費用は,(1)初動対応が100万円から,(1)初動対応に(2)調査/分析を含めると500万円から
[画像のクリックで拡大表示]

 ここへきて,注目されているセキュリティ対策支援サービスは,「(1)Webアプリケーションの脆弱(ぜいじゃく)性診断」「(2)侵害されてしまった場合の対策指南」「(3)教育(セキュリティ要件の作成)の支援」の3つ(図1[拡大表示])。

 その中でも特に,(1)の脆弱性診断サービスの需要が急増している。脆弱性の診断は,古くからセキュリティ・ベンダーが提供してきたサービスの一つだが,5月以降に診断サービス・メニューを拡充したNRIセキュアテクノロジーズ,グローバルセキュリティエキスパート(GSX),三井物産セキュアディレクション(MBSD),ラックのセキュリティ・ベンダー4社では,「依頼が相次ぎ,技術者はフル稼働の状況」(NRIセキュアテクノロジーズ 事業開発部 セキュリティエンジニア 木村尚亮氏)が続いている。カカクコム事件でSQLインジェクションなどの攻撃手法が新聞などで広く報道され,その後容疑者が逮捕された続報もあってか,「これまで付き合いがなかったユーザー企業からの問い合わせや依頼が急増した」(木村氏)と,診断サービスに対するユーザー企業の関心の高さがうかがえる。

 図2[拡大表示]は,Webアプリケーション診断サービスの作業の流れを示したものだ。診断サービスの費用は,検査対象のWeb画面数に比例する。NRIセキュアとラックは,調査対象が約5画面のサービスをそれぞれ78万円(ラック),45万円から(NRIセキュア)で提供。MBSDは1画面の調査費用を12万円(別途,レポート作成や報告会などの基本料金が50万円)に設定している。GSXは9月末までの期間限定で,約30画面の簡易診断サービスを29万4000円で提供中だ。

 サービスを選定する際に注意すべきポイントは,「画面のカウント方法」と「診断結果の報告内容」の2点である。画面数は,ユーザーが直接目にしない画面もカウントされる。実際は,WebブラウザとWebサーバー間でやり取りするリクエスト数やパラメータ数などを勘案して見積もる。一般的には,「トップページ/ユーザー認証/掲示板/問い合わせフォーム/アンケート画面/ユーザー登録/パスワード変更画面などの機能を備えた基本的な構成のWebシステムの場合で30画面程度になる」(MBSD テクニカルサービス事業部 マーケティングマネージャの目崎匠(めざきたくみ)氏)。調査対象は動的に生成される画面であり,静的な画面は数にカウントされない。

 診断結果の報告書の内容は,ベンダー間で差異が大きい。MBSDは詳細な報告書を標準メニューに組み込んでいるが,GSXなどが提供する簡易診断メニューでは詳細な報告書はオプション扱いとなる。申し込み時にはサービス内容を確認しておきたい。

 診断で脆弱な個所があぶり出された後には,アプリケーションの改修作業が待っている。上記4社のうち,ラックを除く3社は基本的に改修作業を請け負わない。その場合,アプリケーションの開発元などに改修作業を依頼することになるが,「要件定義書に明確なセキュリティ要件が規定されていないと,(ユーザーとベンダー間で)費用負担でもめるケースがある」(NRIセキュアテクノロジーズ 事業開発部 セキュリティエンジニア 観堂剛太郎氏)。見つかった脆弱性が,検査対象のWebアプリケーションを実装した当時に既知の問題だった場合,「結局は,ユーザーとベンダーで費用を折半して改修するケースも少なくないようだ」(観堂氏)。

侵害後の被害を最小限にするサービス

 次に,(2)侵害されてしまった場合の対策指南は,不幸にもセキュリティ侵害を受けてしまい個人情報などが流失してしまった場合に必要な,「被害を最小限に食い止める」「不正アクセスの痕跡を保全して警察に通報する」といったサービスである。

 ラックが提供する「個人情報119」サービスがこれに相当する(図3[拡大表示])。個人情報の漏洩(ろうえい)といったセキュリティ侵害が判明した際,ラックが用意する特定の電話番号に連絡すると,専門部隊が24時間以内に駆けつけ初動対応に当たる。調査/分析や復旧支援に加え,被害者の保護やマスコミ対応などもサポートする。今年5月にセキュリティ侵害を受けたスターツ出版が同サービスを利用したことで知名度が急上昇した。費用は,初動対応のみが100万円から。

 ラックは上記サービスのほかに,セキュリティ侵害などで個人情報が漏洩した場合を想定したシナリオをユーザー企業の環境ごとに作成し,防災訓練のような演習を実施する「個人情報漏洩演習サービス(100万円から)」も提供している。ラック側の担当者が被害者役やマスコミ役を演じ,ユーザー企業側の担当者の対応方法や作業手順などを逐一チェックする。演習終了後に,方法や手順を振り返りながら課題を指摘し修正,改善する。同様の演習サービスはGSXも「セキュリティ・コンサルティング・サービスの一環として提供している」(ソリューション事業部 シニアマネージャ 宮川晃一氏)が,疑似演習だけを切り出したサービス・メニューは用意していない。

 ベンダーの疑似演習サービスを利用するなら,予備知識を習得する意味で米国のセキュリティ組織であるSANS Instituteがまとめた書籍「Computer Security Incident Handling STEP BY STEP」を一読しておくとよい。セキュリティ侵害のトラブルに関する原因の特定や除去,予防措置,被害の拡大防止策などが網羅されている。

技術者教育で根本的な問題解決

 今後は,(3)セキュアなWebアプリケーションを構築するための教育支援サービスに力を入れるベンダーが増えそうだ。前述のサービス群(1)(2)は,セキュリティ侵害に対して有効な手段だが,「末端の技術者一人ひとりがセキュアなアプリケーションを構築する意識とスキルを備えなければ,根本的な問題解決にはならない」(GSX 代表取締役 山崎文明氏)からだ。

 MBSDは,「要件定義フェーズで適切なセキュリティ要件を組み込む」,「取り決めたセキュリティ要件が設計/実装フェーズで反映されているかをチェックする」ための知識やスキルを習得する「WebSecナレッジサービス」を提供している。セキュリティの体系的な知識を習得するための座学(5人で60万円から)と,要件定義や設計/実装フェーズで必要となるセキュリティ項目のリストを作成するASPサービス(5ユーザーが3カ月間利用した場合で50万円)から成る。