日本ベリサイン SSL製品本部 SSLプロダクトマーケティング部 上席部長 安達徹也氏

Webの多くは脆弱性を抱えている

あらゆる企業がWebをビジネスツールとして活用している。しかし、Webの安全性は確認できているだろうか。しっかりと専門家のチェックを受け、安全性を確認した上で運用しているという例は実はかなり少ないようだ。

「例えて言えばWebというのは企業の玄関口です。悪者も入って来る可能性があります。既にセキュリティの対策を行っている企業Webでも、中には鍵が全くかかっていない扉になっていたり、鍵をかけたつもりが立て付けが悪い扉になっているなど、あやしいケースも多いのです。実情としては、Webのセキュリティ診断をすれば必ず何かが出てくる、と言ってもよい状況です」と語るのは、日本ベリサイン SSL製品本部 SSLプロダクトマーケティング部 上席部長である安達徹也氏だ。

特に、Web構築のプロに任せたから安心だと考えている場合は安全性を再確認して欲しいところだ。いくらセキュアコーディングを心がけたとしても構築のプロはセキュリティのプロではない。またWebの構築を機能ごとにわけて複数の業者に依頼していたり、改修を行うたびに別の業者に依頼している場合や、構築と運用保守を別のベンダーが行っている場合なども安全性の確保は難しい。
「パッチワーク的な開発をしていると、全体を見渡してセキュリティについて考える人がいない状態になります。ぜひWeb脆弱性についてのチェックをして欲しいですね」と安達氏は語る。

脆弱性は認識しながらも対策しきれない運用担当のジレンマ

さらに安達氏は、運用担当者自身は脆弱性に気づきながらも諸事情から対策できない状態も指摘する。

「脆弱性があるならば該当部分をすぐに修正すればよいと思う方もいるでしょう。しかし実際は設計の根本的な見直し、コーディングやプログラミングのやり直しなどが必要です。しっかりとした脆弱性診断を受けて対策を完了させるまでに1カ月はかかります。しかも運用担当者はセキュリティ専門家ではありませんから、1カ月かけて作業すれば絶対に直ると断言することも難しいでしょう」と安達氏。

1カ月というのは、企業のWebにおいてあまりにも長い時間だろう。サービスの改善・拡張をセキュリティ対策のために1カ月延期させることはなかなか難しい。運用しながら部分的に修正を行うにしても、日常的な保守・運用を行いながらの作業となるとなかなか難しい。

「サービスの向上や機能追加、使い勝手の改善などビジネス要求への対応で開発者側が手一杯だという問題もあります。脆弱性の修正はビジネスに直接的に影響しないからということで対応の優先順位を下げられてしまうわけです。しかし、もしその脆弱性が狙われた場合にはビジネスに大きなマイナス影響を与えてしまいます」と安達氏は運用担当者の苦しい状況を語った。

Webの脆弱性に気づいていない、または気づいていながら放置せざるを得ない状況にある企業に、安達氏が勧めるのが日本ベリサインのソリューション活用だ。

日本ベリサインのSSLなら簡易な脆弱性診断を無料で利用可能

日本ベリサインといえば、SSLサーバ証明書を提供する企業というイメージが強い。ECサイトや金融機関サイトでベリサインのマークは日々目にしているはずだ。しかし、実はSSLサーバ証明書を発行するだけでなく、Web全体のセキュリティにも貢献するソリューションを提供している。

Webの安全性を確保するためのサービスとして日本ベリサインが提供している、最も基礎的なサービスはSSLサーバ証明書の付属機能として無料で利用できる「マルウェアスキャン」と「脆弱性アセスメント」だ。この「脆弱性アセスメント」を利用すれば、基本的な脆弱性についてのリスクレベルが診断される。
簡易診断だけではなく、さらに踏み込んだ診断をしたい場合には手動診断を行う「セキュリティ診断サービス」も用意している。こちらはツール診断では検出しきれない深いところのリスクについて、技術者が手作業で診断を行う。

「SSLといえば通信を暗号化して情報を守るものですが、日本ベリサインのSSLはひと味違います。まずは無料で利用できる脆弱性アセスメントを利用し、さらに不安があるようならばセキュリティ診断を行う、という形で活用していただきたいですね。たとえばSSLを設定したつもりが実はインストールに失敗していた、というようなミスも発見できます」と安達氏は語った。

対策完了までの時間稼ぎができる「クラウド型WAF」も提供

さらに、脆弱性を認識した後の対策も用意している。それはクラウド型のWAF(Web Application Firewall)だ。 「WAFを使用するということは、Webが玄関だとするならば玄関前に壁を置くようなイメージです。番犬代わりといってもいいかもしれません。クラウド型なので導入が非常に容易であり、運用やシグネチャの更新もクラウド側で行われます。過去に運用負担やコスト負担によってWAF導入を検討して挫折した企業にもお勧めです」と安達氏。
WAFは直接Webの脆弱性を修正してくれるものではないが、脆弱性を抱えたままのWebが攻撃されないように守る効果がある。脆弱性が見つかった時にはクラウド型WAFを導入することで当面の守りを固め、時間稼ぎをしながら具体的な修正を行えばよいという考え方だ。

企業のWebがどのような脅威に晒されているのか、診断サービスを利用することでどのような脆弱性を検出できるのか、なぜWebの脆弱性の対策がそれほど難しいのか、といった具体的な内容については、3月12日に開催される「マイナビニュースITサミット2013 従来型では通用しない新たな脅威にどう対処すべきか? ~急増する未知なる脅威への対策と処方箋~」において安達氏が講演を行う。まだセキュリティ診断を実施したことがない、これからセキュリティ診断を検討しているという担当者はもちろん、既に脆弱性診断を実施しており、万全の対策を施している場合でも費用対効果や運用改善の検討ができるので、ぜひ参加して欲しい。