ペンタセキュリティシステムズ(ペンタセキュリティ)は5月18日、「Webアプリケーションのセキュリティを強調する理由」と題するコラムを公開し、ITシステムのセキュリティを解説した。
Webサーバーを例に出し、基本的な構造となるネットワーク、システム、アプリケーションの3階層を安全に保つことが最も重要であると述べた。それぞれの具体的な役割は、ネットワーク階層がデータの送受信などの通信を担当し、システム階層はインストールしたアプリケーションの管理・実行を担当、アプリケーションは、多様な機能を行うプロトコル(HTTPやFTPなど)および応用サービスの提供を担当している。
ネットワーク階層およびシステム階層のセキュリティ対策として多くの企業が採用しているのがファイアウォールだ。ファイアウォールを使うことで、ネットワーク上の有害なIPやポートに対してアクセス制御ができる。ネットワークの有害性をチェックするために、ファイアウォールとセットで侵入検知/防止システム(IDS/IPS)を構築するのが一般的だ。
多くの人が周知のようにファイアウォールには弱点がある。許可されたIPやポートからの攻撃を防ぐことができない。さらに、有害性検査では、アプリケーションの脆弱性を狙った攻撃を検知できず、防ぐことができない。
ファイアウォールで防ぎきれず、Webサーバーへと侵入した攻撃は、OS側で対処している。Windows、Linux、UnixなどのOSの提供元は、システムに対して定期的なアップデートやパッチを行い、脆弱性を修復している。また、すべての端末にアンチウイルスソリューションをインストールして、侵入してきた攻撃を検知し対処している。
一方で、アプリケーション階層は、さまざまなアプリケーションが格納されているため、そのすべてが脆弱性攻撃の対象となる恐れがある。そのため、ネットワーク階層やシステム階層に比べてセキュリティ対策が難しい。
多くのセキュリティ管理者は、アプリケーション階層のセキュリティが重要であることを理解しながらも、実際にはどのように構築すればよいかを理解しておらず、適切なセキュリティ対策がされてないのが現状だという。
Webセキュリティにおいて最重要なのは、アプリケーションのセキュリティだという。SQLインジェクション、XSS(クロス・サイト・スクリプティング)のような有名なWeb攻撃も全てWebアプリケーションの脆弱性を狙って攻撃している。
Webセキュリティ業界で有名なOWASP(The Open Web Application Security Project)が選定したWeb脆弱性のトップ10もすべてWebアプリケーションがランクインしている。現在、Web攻撃の9割以上がWebアプリケーションを狙った攻撃であるのが実情だ。
コラムでは、安全なWebセキュリティを構築するためには、安全なWebアプリケーションセキュリティの構築が必須であると指摘している。