企業のWebサイトを狙ったサイバー攻撃が後を絶たない。攻撃の手口は常に進化し、対策は常に後追いのように見えてくる。しかし、本当にそうなのだろうか? Webセキュリティの第一人者である徳丸浩氏に、開発者や発注者、そしてエンドユーザーに突き付けられた課題とその対策について、特に2017年前半に浮き上がった事例について語ってもらった。2回目となる本記事では、前回を受け、システムのアップデート方法について語ってもらった。

(聞き手はITpro Active編集部)


アップデートにはともかく素早く対応しないと…

前回のお話では、脆弱性情報の公開時期とアップデートの公開時期を分けるのは、一種の猶予期間では、との指摘をいただきました。実際に難しいのは、アップデート(パッチ)が出たときの対応です。自分たちで独自に拡張したり、サードパーティ製のプラグインソフトを入れていたりすることがあるためです。バージョンアップしたときに、自分たちで追加したソフトが動くかどうかの検証が必要になる。検証には時間がかかるし、システムを止める必要があるかもしれない。なかなか面倒な問題ですね。

徳丸 その通りですね。Struts2のときは、ある大手のサイトがひと晩くらい止めました。Struts2とは明言されていなかったのですが、時期からみてStruts2に対応したんだと思います。だから、緊急時はサイトを停止してでも大急ぎで検証しないといけない。「ひと晩でできればいいけど、できないじゃないか」という指摘はごもっともですが、逆にいうと、できるようなやり方を考えないといけない、ということですね。

 たとえば、ソフトを設計するときにバージョンアップしやすい、パッチを当てやすいという考え方を入れないといけないと思っていまして、実は「徳丸浩のWebセキュリティ教室」の中でも「パッチ適用容易性」なる言葉をひねり出して、そういうことを言っていたのですが、ますますそれが切実な問題になったなあというのが今の感想です。

 Struts2の脆弱性に関連する被害は、脆弱性が見つかってすぐに起きましたが、そこそこ時間がたってからも起きています。ぴあの場合、2、3週間かかってパッチを当てようとして、既に被害に遭っていた。国土交通省にいたっては何ヶ月でしたかね、予算がないので次の期にまわそうという話になっていましたが、それではぜんぜんダメです(図1)。

図1●国土交通省が2017年6月6日に公開した不正アクセスに関するページ
タイトルは「『土地総合情報システム』における不正アクセスおよび情報流出の可能性について」(出所:国土交通省)
[画像のクリックで拡大表示]
* 徳丸浩氏は日経コンピュータに、ほぼ1年をかけて3つの連載――「Webセキュリティの新常識」(2014年7月24日号~10月2日号に掲載)、「マネジャーが知っておくべきWebセキュリティ」(2014年10月16日号~2014年12月25日号)、「Webセキュリティ最新警報」(2015年1月8日号~2015年6月17日号)を執筆した。記事は全部で24本。これらをまとめた書籍が「徳丸浩のWebセキュリティ教室」。

次ページ以降はITpro Active会員(無料)の方のみお読みいただけます。