近年、大手企業や政府機関などが運営するウェブサイトの改ざんや、サイトを経由した情報漏えい事件などの報道を目にすることが日常的になっている。

人々の生活やビジネスの中でネットの果たす役割が拡大するにつれ、世界規模で明確に犯罪や情報詐取を目的としたサイトへの攻撃が増え続けている。Webサイトを運営する企業や組織は、その現状を踏まえ、日々進歩する攻撃手法に対して適切に防衛の手段を講じることが求められている。一方で、具体的な対策を進めようにも、どういった手順で、どこから手を付けてよいかが分からず、手をこまねいている担当者が多いというのも現実ではないだろうか。

OWASP Japan 代表の岡田良太郎氏

「SECURE YOUR SITE」のブランド名で一連の企業向けセキュリティソリューションを提供するSCSKは、6月6日に東京都千代田区で「サイバー攻撃の傾向と対策セミナー」を開催した。

日本IBMとの共催で実施されたこのセミナーには、基調講演のスピーカーとしてOWASP Japanの代表を務める岡田良太郎氏が招かれ、より安全なWebサイトの構築と運営を目指すにあたり、企業や組織の担当者が念頭に置くべき事柄や、近年のサイバーセキュリティの動向が披露された。また、合わせて、岡田氏が代表を務めるOWASP Japanの活動についても紹介が行われた。

SCSKからは、幅広い業界に向けてサイバーセキュリティ対策ソリューションの提供を行っている担当者2名が登壇し、企業が対策を進める際の具体的な方法論や、実際の事例について紹介を行った。

東日本大震災から見えたWebセキュリティの「課題」

「安全・確実に稼働するWebサイトの新しい意義と使命」と題された基調講演の冒頭、岡田氏は2011年3月11日の東日本大震災以降に稼働した、いくつかのWebサイトの画面を聴衆に示した。

岡田氏はIPA OSSセンターの発足時より非常勤研究員を務めており、その研究の一環として、震災発生後に同時多発的に構築された、被災地支援や関係者間の情報共有を目的としたWebサイトの調査を行った。示されたのは、そうしたサイトの一部のスナップショットである。

調査によれば、震災発生後3カ月以内に、約300にのぼる支援サイトが作られ、そのうち多くのものが3日以内に立ち上がっていたという。復興支援というテーマにおいて、短期間で、これだけの数のサイトが構築されたのは、かつて例を見ない事例であると同時に、クラウドの普及によってサーバの調達や構築が容易になったことや、オープンソースを中心としたソフトウェア構築技術が一般化してきたことが、その背景にあるという。

サイト上で公開され、共有された情報の中には、重要なものも含まれており「復旧に何らかの形で実際に役だったものは多い」とする一方で、岡田氏は、これらのサイトの中でも構築にあたって、当初からセキュリティを重視していたのは「全体の1割程度」であったと指摘した。

「セキュリティを重視していたと回答しなかったサイトに必ずしも脆弱性があったわけではない。また、あの非常事態においては、迅速にサイトを稼働させることが最優先された事情も理解できる。しかしながら、個人情報やプライバシーに関わる情報はもちろんのこと、お金や価値の高い物資に関わる情報を扱うものも多く、これらのサイトで、『構築の勢い』と『セキュリティ意識の勢い』が全く違ったものであったことは、今後の大きな課題と考えられる。善意によって作られたサイトも、それにつけ込んだ攻撃で被害を受けてしまっては台無しになる。私としては、さらなるWebセキュリティの啓蒙や、その具体的な構築手段を広め、理解を高めていくことの必要性を強く感じた」(岡田氏)

岡田氏は、一般的な傾向として、ハードウェア面における「強靱さ」については事前に十分に考慮されるものの、ソフトウェア面では「動いていることが正義」であり、その堅牢性や強靱さの確保については、ハードに対して立ち後れていると指摘する。今後はソフトウェア面についても、平時より有事の状況を想定し、その際のダメージの軽減や、早急な回復を折り込んだ計画が重要になってくるだろうという。

ITシステムを含むBCP(事業継続計画)においても、平時からの備えである冗長性や堅牢性のみならず、何らかの問題が起きた場合に迅速に対処できる「俊敏性」や「臨機性」が求められるようになっているとした。

近年の技術環境、利用環境の変化は急速で、かつ複雑さを増している。このような状況を踏まえ、ネットでユーザーにサービスを提供する側に求められるのは、日々サイトを運営する中で、どのようなリスクが存在しているのかを知ることと、変化する技術環境やユーザーの利用環境に応じて、セキュリティの観点を加味した運用を進化させていくことであるとする。

特に、攻撃に対するネットワークレイヤでの防御とアプリケーションレイヤでの防御が全く質の異なるものであり、どちらか一方の対応が疎かになれば深刻な被害へとつながる可能性がある点や、スマートフォンの普及によって、開発側が意識すべき「セキュアプログラミングの視点」が増えている点などに言及。現在のネット環境においては「単体のウェブサイトがクラックされないようにするといった程度のセキュリティ意識では不十分になっている」と指摘した。

「こうした背景のもと、Webサイトのライフサイクルの中で、セキュリティ確保のためにどのようなことに留意し、実行すればいいのか。安全なWebサイトを実現するためのコンセプトと具体的な方法論をどのように見い出すかについて、関心が高まっている」(岡田氏)

Webをセキュアにするためのノウハウが集結する「OWASP」

この課題に取り組んでいる世界規模のボランティアプロジェクトのひとつがOWASP(The Open Web Application Security Project)である。岡田氏は、その日本チャプターの代表を務めており、具体的な活動内容について紹介した。

OWASPでは、Webアプリケーションセキュリティの向上を目指すエキスパートが、オープンソースプロジェクト的なコラボレーションによって、コードやツール、ドキュメントなどのさまざまな成果物を生みだしている。同団体が数年ごとに発表する「OWASP Top 10」は、ウェブアプリケーションにとって、最も注意すべき脆弱性と、その対処法を知るための有用なリファレンスとして知られている。

またOWASPでは、セキュリティに関わる、より上位の「ITガバナンス」に関する活動も行っている。これは、個別のアプリケーションの安全性よりも、それを開発する組織全体として、ソフトウェアの安全性を確保していくための、戦略、教育、セキュリティ要件、レビュー、環境などをいかに確保すべきかについて体系化を行っているものだ。

活動成果は「ソフトウェアセキュリティ保証成熟度モデル(SAMM)」として公開されており、企業のCISOトレーニングなどにも活用されているという。岡田氏は「ソフトウェア発注側にとっても必携の基準。ぜひ参考にしてほしい」と述べた。

そのほかにも、OWASPでは開発者のためのセキュリティガイドラインやコードレビュー基準、テスティングガイド、さらに日本では特に課題となるソフトウェア開発契約に関するガイドラインといった、有用なリソースの作成と共有が行われている。

「こうした成果物を、オープンソース的に作り上げ、共有するという試みにより、それぞれの企業の中だけで取り組むよりも、より効率的で持続性の高い知識の蓄積が期待できる」(岡田氏)

また、近年重要性が増しているモバイルセキュリティに関しては、OWASPの「チートシートプロジェクト」として多数の成果物が生まれているほか、日本においても一般社団法人日本スマートフォンセキュリティ協会による「スマートフォンネットワークセキュリティ実装ガイド」のような形で、有用なノウハウが蓄積されつつあるという。

「現在の社会情勢の中で、Webがセキュアで安全に使われるものであることを目指して努力するというのは、一見困難な命題だ。しかし、それを解決するためのノウハウや具体的な方法論は、OWASPなどにより誰でもアクセスできる。開発者だけでなく、顧客、ソフトウェア開発企業や組織、教育者、プロジェクトマネージャーといったあらゆるステークホルダーが、全員全力でその命題に取り組むことが可能だ」(岡田氏)

イベントを通じて洗練される「技術」と「知識」

こうした取り組みを広く普及させるための取り組みとして、岡田氏は「OWASPミーティング」や「ワスフォーラム・ハーデニングプロジェクト(WASForum Hardening Project)」を紹介した。

OWASPミーティングは、日本では2012年から三ヶ月に一度のペースで開催されており、アプリケーションセキュリティに関心を持つエキスパートが実際に顔を合わせて、ノウハウの共有や、議論を行うイベントである。毎回、多数の来場者があり、今後はより全国的な取り組みにしていきたいという。

「回を重ねるごとに参加希望者が増えており、関心の高まりを感じている。Webセキュリティを現場で実装する人たちに、当事者意識が生まれてきている証だと思う」(岡田氏)

また、「ハーデニングプロジェクト」は、ITシステムの「総合運用力」と「堅牢化技術」を兼ね備えたエンジニアの発掘と顕彰を目的として、チームによる競技形式で行われるイベントである。

「ハーデニング」とは、セキュリティが施されていない状況で手渡される脆弱なWebサイトを、具体的な目標や方針を決めながら「セキュア」なものへと堅牢化していく作業を指す。競技では、そのサイトをコマースサイトと仮定した場合の「売上」をポイントとして加算し、サイトの停止や、攻撃による被害が発生した場合には減点する、などのルールで総合ポイントを高めることを目指す。

堅牢化のアプローチや実作業の方法が異なるため、チームによって約8時間の競技の中で約3倍ものポイント差が出ることもある。「セキュリティ確保のための目標の立て方や実施方法によって成果が異なる。つまり、技術者が、セキュリティ技術によるビジネス継続手段に『優劣』が出ることをモデルとして認識できる意味でも興味深いイベントになっている」(岡田氏)という。

岡田氏は「OWASPミーティングやハーデニングプロジェクトについては、取り組みの一例として紹介した。覚えておいていただきたいのは、アプリケーションセキュリティを確保し、『ビジネスを守る技術』というのが、既に存在しているということだ。今後は、この部分についても、ビジネスオーナーが積極的に関わり、ビジネスの価値を最大化していくという意識を持ってほしい」と述べ、基調講演を締めくくった。