OWASP JAPANチャプターが活動開始

「オープンソース形式でWebアプリセキュリティの向上を」

2012/04/10

 Webアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体、The Open Web Application Security Project(OWASP)の日本支部であるOWASP JAPANチャプターは3月27日、第1回のLocal Chapter Meetingを開催した。今後もこうしたセミナーを定期的に開催していく方針だ。

 OWASPは、Webアプリケーションセキュリティの向上を目的とした団体だ。Webアプリケーションの脆弱性ワースト10を取りまとめた文書「OWASP Top 10」を定期的に公開するほか、安全なアプリケーション開発のためのガイドラインや脆弱性診断チュートリアル、診断トレーニング用の“やられWebアプリケーション”である「WebGoat」など、さまざまなリソースを提供している。

 JAPANチャプターリーダーの1人、Benny Ketelslegers氏によると、OWASPは最近ではモバイル向けアプリにも活動の幅を広げており、Androidのリスクについて取りまとめた「OWASP Mobile Top 10」を公表したほか、WebGoatのAndroid版となる「Goatroid」の開発などに取り組んでいるという。

 同じWebアプリケーションのセキュリティ向上という目的に向けては、すでにWeb Application Security Forum(WAS Forum)が国内で活動してきた。「WAS Forumはどちらかというと、かんたんログインや共通番号制度といった“日本オリエンテッド”な問題に深く切り込んでいた」(チャプターリーダー、岡田良太郎氏)。これに対しOWASP JAPANチャプターは、アプリケーションセキュリティ向上のための技術を共有し、成果を世界に提供していくパスという意味合いが強い。

 OWASP JAPAN チャプターは2012年1月から活動を開始した。チャプターリーダーの上野宣氏は、存在が明らかになってからずいぶん時間が経つSQLインジェクションのような脆弱性がいまだに多数存在し、生み出されている状況を変えていくべきだと述べている。「単純な解決策があるのに知られていなかったり、面倒くさいものだと思われていたりする。セキュリティのツールやドキュメントについても、オープンソース形式で共有し、広めていきたい」(上野氏)。

owasp01.jpg

CSPはXSS根絶の切り札?

 3月27日の第1回Local Chapter Meetingでは、こうしたOWASPの活動を紹介するとともに、セキュリティ専門家らによるライトニングトークが行われた。

 はせがわようすけ氏は「5分で分かるCSP」と題して、「クロスサイトスクリプティング(XSS)根絶の切り札」とも目されるCSP(Content Security Policy)について解説を行った。

 CSPはFirefox 4/Google Chrome 18/Internet Explorer 10以降で実装される機能だ。あらかじめ、HTTPのレスポンスヘッダで許可するリソースを指定することにより、それ以外のリソース読み込みを制限できる。この際、画像などリソースの種類ごとに許可するリソースを指定することも可能だ。また、インラインスクリプトやeval関数も禁止できる。

 はせがわ氏は、「CSPを活用し、ポリシー違反時にレポートを送信するような機能を作り込むことで、Webアプリケーションに対する攻撃の予兆をつかむことも可能になるかもしれない」と述べた。ただ一方で、ブラウザごとに実装が異なること、広告やアクセス解析用に埋め込んでいるJavaScriptが動作しなくなる可能性があることにも触れ、「運用はけっこう面倒かもしれない」という。

 同氏はさらに、最も厳しいルールでCSPを適用していても、自ドメインのリソースを読み込むことは可能であることに目を付け、CSPを破ることは可能であることにも触れた。doctype宣言がなされていないなどの条件下では、ECMAScript for XMLを用いて、HTMLをJavaScriptとして解釈させることにより、スクリプトを実行させることは可能という。

 「そもそもXSSをなくすことが大事。また、CSPによってXSSのリスクを減らすことができる」(はせがわ氏)。

Androidアプリの開発にWebの知恵を

 Yoshitaka Kato氏が取り上げたテーマはAndroidアプリケーションだ。同氏は、Androidアプリの解析と改ざんが比較的簡単にできてしまう事実を紹介した。

 プレゼンテーションでは自作アプリを対象に、Android SDKに含まれているdexdumpとバイナリエディタを使って、リバースエンジニアリングと改ざんが行える様子を紹介した。Androidアプリのリバースエンジニアリングは規約では禁止されているが、実際にはその操作は簡単であり、アプリに組み込んだチェックルーチンをバイパスすることも可能だ。

 Kato氏は、「Androidアプリは、こうした事柄を考慮して開発すべき」と述べた。Webアプリケーションの世界では、クライアントサイドのみのチェックや、Web APIにアクセスしてOKを返すだけといったルーチンは「NG」とするのがお約束となっている。しかし「Androidの世界では、こうしたケースがけっこうある。Webの知識を生かしてほしい」(同氏)。

 OWASP JAPAN 第1回 Local Chapter Meetingではほかにも、徳丸浩氏による「バリデーション至上主義」に対する疑問を呈するプレゼンテーションや、Webアプリケーション脆弱性スキャナの「テストサイト」の有効性を問う発表、「Webアプリケーションセキュリティ要件定義書」の作成、共有の呼び掛けなどが行われた。

 ミーティングの最後には岡田氏が登壇し、「安全なWebサイトの作り方を理解し、それを手伝うことは、子孫に誇れる仕事。決しておろそかにできる仕事ではない」と会場に呼び掛けた。

 今後は、3カ月に1回のペースでこのようなミーティングを開催し、知見の共有を支援していく。また、OWASPがグローバルに展開しているプロジェクトへの参加も後押しし、世界に向けて成果を出していきたいという。「Webセキュリティを1つのきっかけに、文化や言語の垣根を越えて、一緒に楽しんでいきたい」(同氏)。

関連リンク

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間