会社情報

パブリシティ

リスクマネジメントABC アプリケーション開発 短納期化が脆弱性助長 日刊工業新聞 2007年(平成19年)2月8日掲載

リスク管理
アプリケーションの歴史には、常にセキュリティーの問題がついて回る。便利な機能の実現を優先しすぎたあまり、事件、事故につながってきた事実も否めない。今なお続くこの問題が、Webの世界においても、大きな波紋を呼んでいる。

SNSやブログ、各種情報照会や取引・決済など、Webの普及・活用範囲の拡大は目覚ましい。このような処理を実現する「Webアプリケーション」の需要は拡大し、急ピッチで開発、リリースされてきた。しかしその結果、過去の反省を活かしきれずに、新たな脆弱性を作り込み、前車の轍を踏むこととなったケースもある。

トップ20の1つである「C1.Webアプリケーション」における主な脆弱性表中に示すWebアプリケーションの脆弱性は、特に標的とされており、最優先で取り組む必要があるものである。

ここ数年、数々の事件を引き起こした「SQLインジェクション」は、攻撃者にデータベースを不正に操作される恐れがある、最も作り込んではならないとされる脆弱性の一つである。

Webアプリケーション経由で悪意のスクリプトが実行される「XSS(クロスサイトスクリプティング)」は、名称こそ有名になったが、発生のリスクは増大傾向にあると言える。また、現在でもなりすまし、フィッシング、ワームなど、様々な悪用事例が報道されているが、今後はさらに悪質になる可能性についても十分に注意が必要である。

「CSRF(クロスサイトリクエストフォージェリ)」は、ユーザーの意図に反し、各種手続きや決済などの操作を実行させられてしまう脆弱性である。先の二つに比べ、単語自体が浸透しておらず、今後猛威を振るう可能性は高い。

一般的な攻守のバランスを考えたとき、攻撃側は一ヵ所でも穴があればそこを突けばよい。それに対し防御側は、網羅的に対策を実施する必要に迫られる。しかし、考慮漏れ、対策漏れなどの綻びは、開発の随所に存在する。重要なのは、開発のライフサイクル全体に渡って、セキュリティーの向上に取り組むことである。設計、実装、テストの各段階で、セキュリティー要件を満たしているかどうかについてのレビュー・検証が欠かせない。

しかし、スピード(短納期)が求められがちなWeb開発においては、機能の実装のみで手一杯となる傾向も見られがちである。現実問題、開発側のみの取り組みでセキュアなアプリケーションを構築するのは難しいかもしれない。

発注側もまた、セキュリティー要件、そして検収条件を明確にしておかなければならない。安全なのか危険なのかわからないアプリケーションを、全世界に公開してはいけない。こうした責任共有に求められるパートナーシップも、システム開発の重要な一側面となるだろう。

セキュリティーを確保するということは、特別なことをするのではない。事前に十分なリスクの分析・評価を行ったうえで、不具合の少ない、高品質のアプリケーションを構築する、すなわち当たり前のことだ。脅威と対策を認識し、受発注から運用までを通じ、発注側・受注側双方の協力による体制作りが求められている。(日本総研ソリューションズ)


執筆 技術本部:足羽 崇

※日刊工業新聞 2007年02月08日 掲載記事より転載

PDF版はこちらから(368KB)PDF

ページトップへ戻る

JSOLへのお問い合わせ

特集

特集SAP

SAP ERPの豊富な導入実績があり、企業の業務改革を総合的にご支援します。

特集Biz∫

人とシステムの融合による業務効率化を目指し、あらゆる企業の変革を迅速かつ確実に実現します。

特集オムニチャネル

コンサルティングからソリューションまでオムニチャネル化に向けた最適なご支援を提供します。

特集JSOLアグリ

農業生産に係る数理計画を中核に、農業生産者の経営指標の見える化と収益拡大を実現します。