|
必聴講座ご紹介 Cloud Days Tokyo 2012 エムオーテックス Cloud Days Tokyo 2012 ヴイエムウェア Cloud Days Osaka 2012 アマゾン データ サービス ジャパン |
ニュース
「97%のサイトのWebアプリケーションに何らかのセキュリティ・ホール」---Webアプリ侵入検知/検査ツール・ベンダーSanctumの創業者に聞く米Sanctumは,Webアプリケーションのセキュリティを確保するためのツールを開発,販売しているベンチャー企業である。不正アクセスの監視/防御を行う「AppShield」と,Webアプリケーションのセキュリティ・ホールを検査するツール「AppScan」を提供している(注)。どちらもOSやWWWサーバー・ソフトウエアなどの基本ソフトではなく,JavaやASP(Active Server Pages)などで開発したカスタム・アプリケーションのセキュリティ確保に特化したツールである。創業者で,Senior Vice PresidentであるGil Raanan氏に,Webアプリケーションのセキュリティ・レベルの現状などについて聞いた。「検査したWebアプリケーションの97%に,データの漏えいや改ざんなどが可能なセキュリティ・ホールが存在した」と語る。(聞き手は,高橋 信頼=日経オープンシステム)
---実際のサイトで稼働しているWebアプリケーションにも,セキュリティ・ホールを持つものは多いのか
24%のサイトは,ユーザーの個人情報をのぞき見ることができた。 23%のサイトでは,クラッカが価格を改ざんして商品を安く購入できてしまうという欠陥があった。また,24%のサイトでは,情報を格納したファイルの内容が外部から参照できるなどの問題があり,情報へのフルアクセスが可能だった。 他人になりすまして取り引きができてしまうサイトが5%。情報を改ざんできてしまうサイトも5%。管理者権限を奪われ,すべてが可能になってしまうサイトも5%あった。3%のサイトでは,データを全部消去することができた。 重大な問題がなく,おおむね安全なサイトは3%しかなかった。 これらの問題を引き起こすセキュリティ・ホールの種類はいくつもある。例えば,Cookie情報やクエリー文字列(URL中に「?」に続いて記述されるデータ)にユーザーIDが含まれてさえいれば正しいユーザーだと判断してしまうようなWebアプリケーションは危険だ。クラッカは本来のユーザーになりすまし,ユーザーの個人情報をのぞき見たり,注文などの取り引きができてしまう可能性がある。Cookie情報やクエリー文字列は自由に改変できてしまうからだ。 また,商品の価格やユーザーの与信限度額などのデータを,HTMLフォーム中のHiddenフィールドやCookie情報などに格納していると,それらの情報は改ざんされる可能性がある。やはり,これらはクライアント側で偽造することができるからだ。 これらは一例で,ほかにもセキュリティ・ホールの例はたくさんある。
---Webアプリケーションの問題は,認証やセッション管理,入出力チェックの不備により発生することが多い。しかし,Webアプリケーション・サーバー製品はこれらを実現する機能を提供するようになってきた。Webアプリケーション・サーバー製品で開発したアプリケーションにも危険はあるのか (注)日本では,2000年10月末にテクマトリックスおよび日立情報システムズがAppShieldの日本語版を出荷する予定。AppScanは,テクマトリックスが2001年11月に出荷する予定。日立情報システムズもAppScanを販売する予定だが,発売時期は未定である。 最新ニュース記事一覧へ >> |
