Tweet

セキュアなプログラミングが必要とSANS

「ほかの誰のせいにもできない」Webアプリの脆弱性

2008/07/01

　「これまでは脆弱性が発見されても、ベンダのせいにしていればよかった。しかし、今攻撃のターゲットになっているソフトウェアを書いているのは自社自身。ほかの誰のせいにもできない」――米国のセキュリティ組織、SANS Instituteの代表兼調査部門ディレクターを務めるアラン・パーラー氏は、7月1日に開催した記者説明会の席でこのように説明した。

　SANSは7月1日、2日にわたって、情報セキュリティをテーマとしたイベント「SANS Future Visions 2008 Tokyo」を開催している。このイベントに合わせて来日したパーラー氏は、OSやネットワークに代わり、アプリケーション、それも独自に開発されたアプリケーションが攻撃者のターゲットになっていることを改めて指摘し、注意を呼び掛けた。

SANS Institute 代表兼調査部門ディレクター アラン・パーラー氏

　SANSが世界中に設置したセンサーを通じて収集した調査によると、攻撃のターゲットになっているソフトウェアとしては「アンチウイルス、バックアップ、そしてWebアプリケーションの3つが圧倒的」（同氏）だという。中でも、昨年以降特に狙われているのが、企業が独自に開発し、作り込んだWebアプリケーションだ。

　2008年5月には、150万以上ものWebサイトが攻撃を受け、データを盗み取るだけでなく、アクセスしてきたユーザーをキーロガーなどに感染させるコードを埋め込まれた。このとき使われた攻撃手法は、国内でも多数のサイトに影響を及ぼしたSQLインジェクションだ。

　パーラー氏によると、この問題には2つの対処が必要だ。1つは、すでに実装済みのWebアプリケーションに存在する脆弱性を修正すること。もう1つは、現在進行形で開発中のアプリケーションに欠陥を埋め込まないようにすることだ。

　ソフトウェアの脆弱性をチェックする手法としては、外部からのスキャンによるブラックボックステスト、ソースコードを解析するホワイトボックステストがある。しかし、ことWebアプリケーションに関しては、両方を組み合わせてもなお検出が困難な脆弱性があるとパーラー氏は述べ、Webアプリケーションに特化したペネトレーションテストが必要だとした。

　また新規アプリケーションについては、「脆弱性がどこにあるかを認識できても、問題はそれをうまく修正できないこと。本当にセキュアなコードをどのように書いていくかを教えていかなければならない」（パーラー氏）

日本語で「セキュアなプログラミング」認定試験

　これを踏まえてSANSは、NRIセキュアテクノロジーズとともに、日本語によるセキュリティに配慮したプログラミングの知識・スキルの認定試験「GIAC Secure Software Programmer（GSSP）」を国内で開始することを発表した。GIAC（Global Information Assurance Certificaiton）の1分野として、セキュアなプログラミング／コーディングに関する知識やスキルを証明する試験として実施される。初回試験は12月13日を予定しており、受験料は5万7000円。また、それに向けたトレーニング／研修も提供される。

　まずC／C＋＋向けとJava向けのテストから実施されるが、追ってC#やVisualBasicといった.NET向けのプログラミング言語も追加される予定だ。さらに、PHPをはじめとするほかの言語についても、試験を提供するとしている。

　また、開発者側がセキュアなプログラミングの知識を身に付けても、それが実際のシステムに反映されなければ意味がない。往々にしてセキュリティの優先順位は、要求機能やパフォーマンス、納期といった要素の下に置かれがちだ。

　パーラー氏は、ある企業の例を挙げて、セキュリティを後回しにするとかえって高く付くと述べた。「ある企業が1万1000ユーロのWebアプリケーションシステムを導入したが、検収後に、いくつかのセキュリティ問題が発見された。そこで外注先に修正を依頼したところ、『仕様書に書いていないから直せません』と断られた。交渉の結果、余分に1万4500ユーロ支払うことで修正が行われた」（同氏）。

　こういうケースを考慮すると、Webアプリケーション開発を外注する際には「契約書の中に『納入前にブラックボックス／ホワイトボックス両方のセキュリティ検査を実施し、その結果を添える』という項目を含めるべきだ」とパーラー氏。確かにセキュアコーディングを実施することでコストはかさむが、せいぜい10〜15％程度にとどまるだろうと述べている。