Tweet

聞け！ 日々“3億件”のログと戦う男の声を

　公開システムで注意すべきはやはり「SQLインジェクション」

　公開システムへの脅威については、現在でもSQLインジェクションの問題に注目すべきだという。川口氏はSQLインジェクションの詳細な動作を知ることよりも、「機微なデータに直接さわることができてしまう脆弱性である」と認識することが重要だという。極論ではあるが、と前置きをした上で、この問題に対策さえすればインターネット上の脆弱性が原因で自社の株価が下がったり、過剰な報道をされることもないだろうとも述べる。それほど重要なものなのだ。

　SQLインジェクションへの対応が難しいのは、この問題が「管理者が気がつかないケースが多い」ためだ。2005年ころから急増したSQLインジェクションの件数だが、2008年12月には1500万件もの攻撃が検知されている。

SQLインジェクション攻撃検知数（2008年12月まで） | LAC via kwout

グラフ1　2005年からのSQLインジェクション攻撃検知数の推移

　SQLインジェクションではデータベースに格納された情報を抜き出すだけでなく、Webサイトの内容を改ざんし、悪意あるサイトへの誘導を行うことも攻撃の一種である。対策として、改ざんされたら元に戻せばよいというわけではない。一度改ざんされたサイトは検索エンジンやウイルス対策ソフトベンダに「改ざんされウイルスが存在する可能性があるサイト」と認識される。例えばSEOなどを施し、検索リストの上位にくるようなサイトが攻撃された場合、検索エンジンには「このサイトはコンピュータに損害を与える可能性があります」と表示されることで、Webサイトの集客、そして売上がダウンすることになる。一度落ちた信用を回復することは非常に難しいため、SQLインジェクション対策はとても重要なものとなるのだ。

　システムを守るためにどのログを見るべきか

　ログでシステムを守るために考えるべきことはなんだろうか。セキュリティはよく鎖に例えられ、最も弱い部分から浸食されるといわれている。川口氏は経験上から、「部門単位でセキュリティを考えている企業は事故が起こりやすい」という。部門単位でセキュリティを考えている部署はセキュリティ対策が人に依存しており、年度の変わり目で人が異動するタイミングで対策が破たんすることが多い。逆に、システム全体のセキュリティを全社で考えている企業は、人の異動やシステムのリプレースなどでもセキュリティレベルが変化せず、当然ながら鎖が強固なものになっているという。

　川口氏は、以下の3点がセキュリティ対策のポイントだと述べる。

1. 実装前の対策
2. 見える仕組み
3. 組織内の連携
   

　見える仕組みについては、アラートの頻度について気を付けるべきという指摘があった。見える仕組みを作ろうとすると、どのようなささいなことでもアラートを発行することになってしまう。川口氏はそのような状況を作り出すとアラートに埋もれ「アラートを受ける人が慣れてしまい、重要なものを見逃し、失敗する」と断言する。見えるようにした仕組みをどう受けるかという点が、ログのシステムを作るときに最も考えなくてはならない点だ。アクションを起こすためのアラート“だけ”が重要なのだ。

　そして組織内の連携についてはもはやITの話ではない。システムの最後の部分は“人”であるため、川口氏は知の共有やインシデントの対応訓練の重要性を強調した。

2/2

Index
聞け！ 日々“3億件”のログと戦う男の声を
	Page1 1年間で570億件のログ、その内訳は 誰が見ても悪いモノはすぐ分かる――ではなにを見る？
	Page2 公開システムで注意すべきはやはり「SQLインジェクション」 システムを守るためにどのログを見るべきか

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード