「企業が運営するWebアプリケーションには100%脆弱性がある。開発会社はあてにできない。ユーザー企業みずから脆弱性をチェックするしかない」---。セキュリティ検査サービスを営むセキュアスカイ・テクノロジー社長の乗口雅充氏は2006年12月6日,F5ネットワークスジャパンが主催したプレス向けセミナーの講演で,企業が抱えるWebアプリケーションの脆弱性の実態を示し,警告した。
乗口氏がセキュアスカイ・テクノロジーを設立した2006年3月以降,ユーザー企業のWebアプリケーションを検査してきたが,実際に顧客のシステムを検査してみると,必ず脆弱性が見つかるという。「多くの企業にとっては脆弱性があるのか無いのかということが問題なのではなく,脆弱性が発覚しないことが目的になっている」(乗口氏)。
独立行政法人情報処理推進機構(IPA)が発行した「情報セキュリティ白書2006年版」において,2005年の情報セキュリティ10大脅威のトップには,第2位のWinny関係の情報流出問題を抑えて,SQLインジェクションが位置している。これほど基本的な問題であるにもかかわらず「開発者によっては特殊文字をエスケープすることなく,そのままSQLインジェクションを許すケースも多い」(乗口氏)。
脆弱性を残す原因となる問題には,開発会社の問題,ユーザー企業の問題,検査サービス会社の問題の3つがある。このうち開発会社の問題は深刻であり,「中小規模のWebサイト構築で顕著だが,Webのデザイン制作を主体とする開発会社の場合,セキュリティ意識が無い会社が多い」という。納期が短い上に,仕事はいくらでもあるため,1つの顧客,1つの案件について脆弱性の検査などしていられない,というのが制作会社の実態というわけだ。
氏はセキュアスカイ・テクノロジー設立以降6カ月に渡って,Web制作会社10社と対話を繰り返したが「制作会社に期待してはいけないとの結論に達した」(乗口氏)。Web制作会社の考えは,「ビジネスが活況な時に,お金になるかどうか分からないことに時間を割く余裕は無い」というものであるという。だから「発注したユーザー企業がみずから,システムの納品時に脆弱性を検査しなければだめ」なのだと乗口氏はいう。
問題になるのが,検査サービスの料金の高さだが,自動化できる部分をプログラムで行うことで「手動でやっていた従来の方法と比べて,コストを5分の1から3分の1のコストに下げられるようになってきている」(乗口氏)。
脆弱性を減らすためには,プログラムの修正だけでなく,Webアプリケーションの手前に設置するセキュリティ・アプライアンスが有効なケースもあるという。プログラムを修正すると,修正プログラムが及ぼす影響の範囲が多岐に渡る場合は,膨大なテストをやり直さなければならなくなる。一方で,アプライアンスは導入するだけでよいため,テスト作業を引き起こすプログラムの修正を回避できる。
