「攻撃側の技術が進化しているのは確かです。かといって、防御側も何か特別な新しい対策をしなければならないというわけではないのです。新たなサイバー攻撃の報道を耳にする度に途方に暮れている企業もあるかもしれませんが、決して悲観することはありません」――HASHコンサルティング代表で、京セラコミュニケーションシステム技術顧問の徳丸浩氏は、取材の冒頭、このように語って解説を切り出した。

サービスの案内や、注文の受付など、今やWebはビジネスを円滑に進めるうえで不可欠なものになっている。しかし、資金に余裕のない中堅/中小企業の中には、セキュリティについて何に注意を払うべきか判じかねているところも少なくないだろう。

そうした企業をサポートするべく、本誌は、セキュリティの大家として知られる徳丸氏にWebセキュリティの基本を伺ったので、その様子を簡単にお伝えしよう。

プロフィール

徳丸 浩(TOKUMARU Hiroshi)


HASHコンサルティング代表、京セラコミュニケーションシステム技術顧問、情報処理推進機構(IPA)非常勤研究員。技術士(情報工学部門)。

1985年京セラに入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティングを設立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。

10月18日(木)に開催される『"加害企業"にならないためのWEBセキュリティセミナー』において、基調講演に登壇予定。

侵入経路は無数にあるわけではない

「どんなに強力な攻撃でも、侵入経路がなければ攻撃のしようがありません。そして、その侵入経路は無数にあるわけではありませんし、何年もの間、変わってもいません」

徳丸氏が脅威対策の基本として挙げたのが「侵入経路」である。

通常、Web上の攻撃は「脆弱性」を突くかたちで行われる。一般に脆弱性という言葉はソフトウェアのバグを指すケースが多いが、広義では、推測しやすいパスワードを登録するなどの「設定の不備」も含まれる。そういった管理者側の問題も含めた脆弱性が侵入経路となり、被害にあうことになるのだという。

「したがって、脆弱性を埋めることが対策の基本になります。以前は、自社サイトの改竄程度であれば外に迷惑を掛けることはないという理由から、脆弱性を放置する『ノーガード』の企業もありましたが、現在はGumblar(ガンブラー)ウイルスのように閲覧者に対して被害を及ぼす攻撃もありますので、そうもいかない状況になっています」

ソフトウェアの脆弱性を完全に取り除くのは不可能、対策はこまめに

では、脆弱性にはどういったものがあるのか。徳丸氏によると、問題になるのは大抵ソフトウェアのバグのほうで、その内容は大きく「プラットフォームのバグ」と「自社開発アプリケーションのバグ」の2つに分けられるという。

プラットフォームに関しては、OSやWebサーバ、開発言語などが挙げられる。これらはいずれも広く利用されているソフトウェアであるため、ひとたび脆弱性が発見されれば、多くの企業が攻撃にあう可能性がある。基本的に開発者らが提供するパッチを適用して対応することになるが、パッチの提供が間に合わない場合は、設定や構成を変更して攻撃経路を絶つなどの作業が必要になる。

問題は、「脆弱性は日々見つかっていくものなので、すべてに対応するのは難しい」(徳丸氏)という点だ。また、脆弱性の情報が間違っているケースもあるし、管理者側が影響範囲を勘違いしてしまうケースなどもある。そうした事態も想定した対策を施しておくことが大切になるという。

一方で、自社開発のアプリケーションに関しては、テスト工程などで脆弱性診断を行い、問題をつぶしていくことになる。しかし、「バグのないソフトウェアはないと言われるとおり、脆弱性を完全に取り除くのはほぼ不可能」(徳丸氏)。例え脆弱性が見つかったとしても、開発者らを責めることはできない。したがって、脆弱性の存在をある程度想定したうえで、対策を施すことが重要になる。

「一昔前に比べると、攻撃の頻度が高くなりましたし、狙われる先も多様になりました。攻撃目的も、金銭を狙ったものや、政治/信条に反する企業/団体を困らせるなど、多岐にわたります。"うちは大丈夫だろう"などと考えて対策をおろそかにしていると、いつ被害にあっても不思議ではありません」(徳丸氏)

それでは、こうした問題に対応するためにはどうすればよいのか――その詳細は、10月18日(木)に開催するセミナー『"加害企業"にならないためのWEBセキュリティセミナー』の基調講演で紹介される予定だ。

当日は、「Apache Killer」というApache HTTP Serverの脆弱性を突く攻撃のデモなども披露される予定。攻撃の恐ろしさを肌で感じることができる貴重な機会なので、興味のある方はぜひともご来場いただきたい。