Tomcatはどこまで“安全”にできるのか?(4)
Tomcatのセキュリティとリスクの基本
分かってる?
株式会社アメニクス
x-lab チーム
2008/1/28
| 今回の主な内容 |
 「セキュリティ」対策をしないと、人生が変わる?Tomcatはどんなセキュリティリスクを持つのか?Tomcatが持つセキュリティリスクを調べるには?Tomcatのセキュリティリスクを解決するためには?Tomcatにありがちなセキュリティリスクの改善次回はツールを使ってセキュリティ対策 |
前回までで、Tomcat 6系に関する機能や設定、運用といったところに触れてきました。今回と次回は2回に分けて、いよいよTomcatを運用していくに当たってのセキュリティ面に着目していきたいと思います。
「セキュリティ」対策をしないと、人生が変わる?
「セキュリティ」という言葉が注目され始めた2000年からすでに8年が経過し、時代は2008年となりました。いまのご時世、パソコンを使う人はみな耳にする、この「セキュリティ」とは一体何のことなのでしょうか?
一般的な解釈に従えば「セキュリティ」=「パソコンの安全性」になります。「ウイルス」や「不正アクセス」に対する安全性のことを指し、さまざまな対策を行うことで「セキュリティ」を保ち脅威から身を守ります。
それでは実際に「セキュリティ」に突破されてしまうと、どのような影響が出るのでしょうか? 以下に代表的な被害例を挙げれば、以下のとおりです。
■ 情報の漏えい
ログインIDやパスワード、大事なファイルのデータなどが漏えいし、個人情報が漏えいする・企業の機密データが漏えいするといった被害に遭うことがあります。
■ パソコンの動作に不具合が生じる
サービスが停止したり業務に支障が生じたりする被害を受けることがあります。例えば、米マカフィーが公開したWindowsのセキュリティ・ホール(セキュリティの穴=脆弱性)を利用した悪質なプログラムの感染によってパソコンの挙動が不安定になる例があります。
■ 不正に侵入を受ける
サーバマシンに不正に侵入され、マシン内のデータを盗まれたりデータを改ざんされたりする被害に遭うことがあります。また、侵入されたサーバを踏み台にしてほかのサーバに対して不正なアクセスをされることもあります。
■ データの改ざん
ホームページのデータやID/パスワードが改ざんされるというような被害に遭うことがあります。以下はホームページのデータが改ざんされた被害の例です。
 |
| 図1 データ改ざんされた例 |
■ 信頼を崩壊させないために
これらは一例ですが、ほかにもさまざまな被害を受けることがあります。
これらの被害を受けることは、被害者だけではなく被害の関係者に対しても影響が出ることがあり、企業やブランドなど信頼(イメージ)の崩壊につながり、現状修復・訴訟対応などに費用がかさむために非常に危険です。
このような被害を受けないためにも、セキュリティ・ホール(脆弱(ぜいじゃく)性)は常に解消することが推奨されています。サーバを公開するうえで安全な運用を行うこと、セキュリティ・ホールを放置することで発生するセキュリティリスクを見逃さないことは必要不可欠といえます。
Tomcatはどんなセキュリティリスクを持つのか?
それでは、具体的にTomcatはどんなセキュリティリスクを持つのかをいくつかの例を挙げて追っていきましょう。
■ インジェクション(SQLなど)
公開されたWebサイトを通して本来実行されないはずの命令を実行し、データの改ざんや不正な入手を行う手法です。DBと連携するアプリケーションなどに対して使われることが多い攻撃手法で、SQLを対象にしたSQLインジェクションが有名です。
■ クロスサイトスクリプティング(XSS)
動的なページで構成されたWebサイトのフォームなどデータ入力を用いてホームページのデータ改ざんや乗っ取りなどを実現させる手法です。過去に脆弱性を持ったWebサイトから悪意のあるほかのWebサイトへの誘導やほかのWebサイトからのデータ混入などが行われたことから「クロスサイトスクリプティング」という名前が付けられました。
■ バッファオーバーフロー
サーバ上で稼働しているプログラムが持っているバグに対して攻撃を仕掛けることでプログラムが用意していたメモリ領域をあふれさせ、予期せぬ動作を実行させる手法です。非常に危険なセキュリティリスクの1つで、プログラムを稼働させているユーザーの権限で攻撃者に任意のコマンドを実行されてしまうという非常に危険な事態を招きます。
■ DoS攻撃
Denial of Serviceの略で大量のアクセスを送信することによってサービス妨害・不能にさせる手法です。大手有名サイトなどはよく標的にされ、サービス運用を妨害される。複数のネットワークから分散して行うDDoS(Distributed DoS)という手法もあります。
■ 設定の不備
これは書かれているそのままの内容で、設定に問題があるために管理者しか使えないページや見られてはいけないページ・データなどが閲覧できる状態になっているケースです。想定しないアプリケーションの混入やサービスの停止などに陥る可能性があります。
■ IPAのページもチェック!
一例を挙げただけでもセキュリティリスクを持つことがどれだけ危険なことか理解できましたか?
近年、IPA(情報処理推進機構)のページでは、セキュリティリスクの情報が掲載されています。こちらの情報にも目を通しておきましょう。
 |
| 図2 IPAのページ |
次ページでは、Tomcatが持つセキュリティリスクを調べる方法を解説します。
| 1-2-3-4 |  |
| INDEX | ||
| 第4回 Tomcatのセキュリティとリスクの基本分かってる? | ||
 |
Page1 「セキュリティ」を対策しないと、人生が変わる? Tomcatはどんなセキュリティリスクを持つのか? |
|
| Page2 Tomcatが持つセキュリティリスクを調べるには? |
||
| Page3 Tomcatのセキュリティリスクを解決するためには? |
||
| Page4 Tomcatにありがちなセキュリティリスクの改善 次回はツールを使ってセキュリティ対策 |
||
 |
Java Solution全記事一覧 |
TechTargetジャパン
- EclipseでScalaプログラミングを始めるための基礎 (2012/2/10)
概要や5つの特徴を紹介し、開発環境を構築して対話型実行環境「REPL」やEclipse上でHello Worldを実行します - 並列分散処理の常識をHadoopファミリから学ぶ (2012/2/8)
並列分散処理の課題やHadoopの長所/短所、そして短所を補うHadoop関連プロジェクトの構成や概要などを簡単に紹介 - WebLogicサーバ最新版「12c」の気になる4つの特徴 (2012/1/31)
久々にメジャーアップグレードしたJavaアプリケーションサーバについて、製品担当者に軽量インストーラなどの特徴を聞いた - GitHubをもっとソーシャルに使いこなすための7つ道具 (2012/1/23)
ソースコードホスティングのGitHub周辺で便利な新サービスが続々登場しているので、まとめて紹介しよう。特に連動クラウド「fluxflex」が注目だ
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。