この1~2年で、ウェブサイトの脆弱性を狙った攻撃が急増している。特に、2008年3月ごろから「SQLインジェクション」攻撃によるホームページの改ざんやサイトへの不正コードの設置が多発した。このような状況のなかで、(財)地方自治情報センター(LASDEC)では、ウェブアプリケーションの脆弱性を診断するサービスを提供している。本稿では、地方自治体の現状とLASDECの取り組みを解説する。 (百瀬 昌幸=(財)地方自治情報センター 主任研究員)
地方自治情報センター(LASDEC)では、地方公共団体の情報セキュリティを支援する各種事業を展開している。平成19年3月には自治体セキュリティ支援室を発足し、以来今年で3年目を迎えた。こうした事業の1つが、「ウェブ健康診断」であり、当室が平成19年度から地方公共団体を対象に実施している事業(無償)だ。本事業では、地方公共団体の公式ホームページをはじめ、図書館の蔵書検索サイトや、施設予約、電子申請等、地方公共団体特有のウェブアプリケーションを診断対象としてその脆弱性の有無を診断している。
当初、実施希望団体は105団体だったが、昨年度は約300団体。今年度は申し込みだけでも500団体を超える状況だ。昨年度下期に多くの地方公共団体がSQLインジェクションによる攻撃被害に遭っていること等から、地方公共団体の担当職員の危機意識が上がっている証左だろう。
そのような状況から、今年度は例年よりも早い8月から順次診断を実施しているところだ。また、9月14日からは、まだ申し込みができていない自治体に向け、2次募集も開始している(詳細はこちら)。
本稿では、ウェブ健康診断事業実施までの経緯を紹介しつつ、事業の活用とその注意点について有識者各位に頂いたご意見を紹介させていただく。
自治体職員や自治体とかかわりのあるITベンダー各位の間でセキュアなウェブアプリケーションの構築や、運用管理の在り方に関して考える機会としていただけたら幸いである。
なお、本記事は、ウェブ健康診断にご協力をいただいた有識者のうち、代表として産業技術総合研究所の高木浩光氏、関西情報・産業活性化センターの木村修二氏、HASHコンサルティングの徳丸浩氏の3氏に委員会などを通じて頂いたご意見の一部を基に再構成したものである。
ウェブでも「健康診断」を
高木氏「脆弱性診断とは本来、そんなに安く実施できるものではないんです」
3年以上前の話だが、ウェブアプケーションの脆弱性診断を受けるのに数百万円単位の高額な診断コストがかかってしまうことがあった。専門性の高い診断エンジニアがそれなりの作業量を伴う診断を実施しているのだから致し方ないが、これでは財政的に厳しい自治体では診断を受け、どのような危険性があるかという現状把握することさえ容易ではない。本来は相応の費用をかけて調べるべきものではあるが、診断費用が高額なため脆弱性の改修予算がなくなるという本末転倒な話にもなりかねない。
比較的安価な診断サービスもあったが、診断内容が不明瞭なケースもあり、信頼できる事業者を探すのは大変だった。これでは対策は進めづらい。当時はそのような状況だった。そこで出てきたのが、以下のような意見だった。
木村氏「健康診断くらいのレベルで脆弱性診断がやれないだろうか」
そのアイディアは明快なものだった。人間に例えれば、人間ドックのような精密検査ではなく、学校・会社で受診する定期健康診断に相当するようなウェブアプリケーションの脆弱性診断が作れないかというものだ。
製造者向けには、IPA(情報処理推進機構)から「安全なウェブサイトの作り方」が提供されているが、調達をするユーザー向けには、納品検収時の脆弱性検査や、稼働中のウェブアプリケーションの脆弱性検査をするための標準的な診断(検査)仕様といったものはまだない。
高木氏「人間の定期健康診断は方法が定型化されており、診断書の書式も全部統一されている。そのような診断を大量発注すれば安価なサービスが実現できるかもしれませんね。また、“健康診断”といっても、重要な項目をきちんと網羅してあれば、診断結果次第で他の大きな病気の有無も推察できるでしょう。そして精密検査を受けるべきかどうかのアドバイスを健康診断から得られれば、きちんと費用を出して精密検査をする意義や、必要性が明確になります」
このコンセプトで項目等を絞った仕様を作れば、1団体あたりの診断費用をある程度抑えることができ、多くの団体に診断を受けていただける。各団体でウェブアプリケーションの脆弱性の対処について考えるきっかけにすることができるのではないかと考えた。
しかし、「言うは易し行うは難し」であった。
