連載 Webシステムのセキュリティ要件(1)

Webシステム開発でセキュリティが軽視される理由

JNSA セキュアシステム開発ガイドライン作成ワーキンググループ リーダー
株式会社ラック
丸山 司郎
2006/1/25

- 安心して眠れるWebシステムとは

 100%安心で安全なWebシステムが存在しないことは、ソフトウェアのバグがなくならないのと同じ程度に明白な事実であり、現実である。  

 だからといって、おのおのの企業が、想定できないリスクを抱えたままWebシステムを運営していかなければならないということではなく、きちんとした対策を施していれば、通常起こり得る攻撃に十分耐えられるWebシステムを構築することは可能である。ここで 具体的な対策方法を記載することは本論からそれるため、以下に有用な資料を紹介するにとどめる。

  関連リンク
  IPAのセキュアプログラミング講座
  マイクロソフト「Web アプリケーションセキュリティ強化: 脅威とその対策」
  マイクロソフト「信頼できるコンピューティングのセキュリティ開発ライフサイクル」

 また、最近では、WAF(Web Application Firewall)と呼ばれる、従来のセキュリティ製品では防御できないWebアプリケーションへの欠陥に対する攻撃に対応した防御製品も登場しており、これらの採用も対応策の1つとして考慮に値する。

- 課題解決策としての「セキュアなWebシステムRFP」
- PR -

 JNSAのセキュアシステム開発ガイドライン作成ワーキンググループでは、Webシステムに脆弱性が存在し、その対策が遅れているという現実への対応策の1つとして、発注者側(ユーザー)側と受注者(Webシステム開発業者)とが共有できるWebアプリケーションのセキュリティ要求仕様について整理・提示することを試みることにした。

 Webアプリケーションに対する攻撃とその対策は、例えばSQLインジェクションやクロスサイトスクリプティング、およびセッション管理に関する問題や、アプリケーション固有の機能に関する問題を指している。これらは通常、Webアプリケーションによって実現したい機能から見れば「非機能要件」ととらえられ、従来の要求仕様では明示されるものではない。

 そのため、Webシステム開発業者としてはセキュリティ対策に関する提案と、そのコストの必要性を明確にすることが困難であり、システムオーナーにしてみれば社会的に必要十分な対策を取る意思があっても、その基準が無いためにベンダの提案を正しく評価することができない、という状況である。

 今回、その1つの解決策として、Webシステム開発を発注するに当たって、実際にRFPにどのようなセキュリティ要件を含めるべきかについて、ガイドラインを作成し広く一般に公開することとした。

図2 セキュリティを考慮した提案依頼の意義

 発注者(Webシステムのオーナー)にとっては、本資料を基に、RFPにセキュリティ対策に関する提案依頼を盛り込むことができる。これにより、各Webシステム開発業者がその特色を生かしたうえでセキュリティに対する提案内容についても大いに競争し、よりセキュアで効果的なWebシステムが作られるようになるはずだ。

 一方、受注者(Webシステム開発業者)にとっては、Webアプリケーションのセキュリティに関する要件を開発提案・要件定義・基本設計の段階から盛り込めるため、セキュリティに関する要件を「機能要件」という位置付けにすることができ、コスト算出のための裏付けの資料とすることができるはずである。

 次回は、JNSAで作成したセキュアシステム開発ガイドライン「Webシステムセキュリティ要求仕様(RFP)編」の解説を行う。

3/3    

index
連載:Webシステムのセキュリティ要件(1)
 Webシステム開発でセキュリティが軽視される理由
  Page 1
Webシステムセキュリティの現状
  Page 2
実社会におけるセキュリティ対策上の課題
 −システムオーナー側の問題
 −Webシステム開発・運用側の問題
 −発注者、受注者双方の契約にかかわる問題
Page 3
安心して眠れるWebシステムとは
課題解決策としての「セキュアなWebシステムRFP」

この記事に対するご意見をお寄せください

 managemail@atmarkit.co.jp

■要約
SQLインジェクション攻撃などが事件としてメディアに大きく取り上げられるようになり、Webシステム開発におけるセキュリティ上の欠陥の重大性に対する認識がようやく広がりつつある。

しかし、アプリケーションレベルの脆弱性を持つシステムはまだ多数存在している。新規のWebシステム開発においても、Webシステムを構築する際に、セキュリティに関する配慮が行き届いていないケースが散見される。

システムオーナー側では、セキュリティ対策で発生するコストを嫌い、開発業者に任せ切りにしてしまうことが多く、開発業者の側も、知識が不足している、オーナーから要求されないなどの理由で対策に積極的になれないことが考えられる。

現実的な改善策として、Webシステムの開発をシステムオーナーが外注する際の開発提案依頼(RFP)に、セキュリティに関する要件を盛り込むことが考えられる。これにより、開発業者間の競争を促進し、セキュリティの効果的な実装を促進できる。
記事の先頭<Page1>に戻る

profile
丸山 司郎(まるやま しろう)
株式会社ラックにおいて、情報セキュリティ全般に関するコンサルティングを担当しており、昨年からは個人情報漏えい事件などの緊急対応のマネジメントを行っている。主たる業務経験として、金融機関における大型汎用機システムの開発・保守を担当してきたことから、近年のWebシステムにおけるセキュリティ対策の脆さについて危惧をいだいている。

Webシステムのセキュリティ要件 バックナンバー



■記事の「要約」がメールで読めます■
記事の「要約」を毎週水曜日にメールでお届けしています。
下の「@IT情報マネジメント メールマガジン」からお申し込みください。
サンプルを見る

ホワイトペーパーTechTargetジャパン

ITインフラ 新着記事
@IT情報マネジメント メールマガジン 情報マネージャのための情報源(無料)

@IT情報マネジメント 新着記事

この記事に対するご意見をお寄せください managemail@atmarkit.co.jp

キャリアアップ

@IT Sepcial
→ @IT情報マネジメント Special ヘ

イベントカレンダー

PickUpイベント

- PR -
もっと見る

TechTargetジャパン

@IT Sepcial
→ @IT情報マネジメント Special ヘ
ソリューションFLASH

求人情報