2011 年 版 Web アプリケーション 脆 弱 性 傾 向 6 月 2011 年 8 月 京 セラコミュニケーションシステム 株 式 会 社 ネットワークサービス 事 業 本 部 セキュリティ 事 業 部
1. はじめに... 1 2. 2010 年 のセキュリティトピックス... 2 3. Web 診 断 結 果 の 分 析... 4 3.1. Web 診 断 結 果 サマリ... 5 3.2. Web 診 断 実 績... 5 3.3. 脆 弱 性 の 傾 向 および 分 析... 7 3.4. 診 断 回 数 別 の 傾 向... 9 3.5. まとめ... 11 4. KCCS が 提 供 する Web 診 断... 12 4.1. 概 要... 12 4.2. 特 徴 および 優 位 性... 12 4.3. Web 診 断 プラン... 14 4.4. まとめ... 15 5. セキュアな Web サイト 構 築... 16 5.1. Web サイトセキュリティ 対 策 の 成 熟 度 モデル... 16 5.2. まとめ... 18 6. おわりに... 19 7. お 問 い 合 わせ 先... 20
1. はじめに 2011 年 4 月 頃 よりゲーム 関 連 のサイトを 中 心 に 大 規 模 なサイバー 攻 撃 が 世 界 各 地 で 報 告 されている 中 でもオンラインサービスから 約 1 億 人 の 個 人 情 報 が 流 出 し た 事 件 は 記 憶 に 新 しい 既 知 の 脆 弱 性 に 対 するセキュリティパッチ 適 用 や Web アプ リケーションに 対 する 基 本 的 な 対 策 の 必 要 性 を 再 認 識 させられる 事 件 である また 攻 撃 者 の 手 口 は 年 々 巧 妙 になってきており 情 報 が 悪 用 されてから 気 づく ケースが 大 半 であり 企 業 のイメージと 信 頼 を 落 とすとともに 訴 訟 問 題 被 害 者 へ の 対 応 など 経 営 的 なダメージを 負 いかねない 本 書 で 取 り 上 げる 2010 年 も 多 くの 企 業 が Web サイトの 脆 弱 性 を 突 いた 攻 撃 に より 情 報 漏 えいの 被 害 を 受 けた インターネット 社 会 となった 今 日 Web サイトは 情 報 発 信 の 場 であるだけではなく 各 種 サービスの 提 供 窓 口 であり 企 業 における 重 要 な 経 営 資 源 のひとつである そのため 企 業 は Web サイトのセキュリティレベ ル 向 上 に 対 して 緊 急 度 の 高 い 経 営 課 題 として 取 り 組 む 必 要 があるが その 対 策 が 十 分 に 施 されている 企 業 は 少 ない 京 セラコミュニケーションシステム 株 式 会 社 ( 以 下 KCCS)では 2004 年 以 来 Web サイトの 脆 弱 性 診 断 と 対 策 を 支 援 する Web アプリケーション 診 断 ( 以 下 Web 診 断 ) サービスを 展 開 してきた 本 書 では KCCS が 2010 年 1 月 ~ 同 年 12 月 に 実 施 した Web 診 断 結 果 に 基 づき 傾 向 分 析 結 果 ならびに 継 続 的 なセキュリティ 対 策 に ついて 紹 介 する 本 書 が Web サイトセキュリティ 対 策 に 活 用 され 安 全 な Web サイ ト 運 営 の 一 助 になれば 幸 いである 1
2. 2010 年 のセキュリティトピックス 例 年 同 様 2010 年 も 数 多 くの 情 報 漏 えい 事 件 が 発 覚 した IPA 1 によると 上 半 期 だけで 684 件 (127 万 383 人 )の 個 人 情 報 漏 えい 事 件 が 報 告 され 損 害 賠 償 総 額 は 364 億 円 以 上 にものぼると 推 定 されている 情 報 漏 えい 事 件 を 起 こした 企 業 は 損 害 賠 償 による 直 接 的 損 失 だけではなく 信 頼 の 失 墜 による 機 会 的 損 失 も 被 ることになり 信 頼 回 復 までに 多 額 の 費 用 と 多 くの 期 間 を 費 やさなければならない よって 情 報 漏 えいをはじめとするセキュリティ 事 件 は 企 業 経 営 を 揺 るがしかねな い 大 きな 問 題 である 代 表 的 な 事 件 を 以 下 に 列 挙 する 1 オンラインゲームサイトにおける 情 報 漏 えい(2010 年 6 月 ) オンラインゲームサイト プレイオンライン に 対 する 不 正 アクセスにより オンライン ゲーム 契 約 者 の 登 録 情 報 (ユーザ ID パスワード 他 一 部 情 報 )が 漏 えいした 2 通 信 販 売 サイトにおける 情 報 漏 えい(2010 年 9 月 ) 通 信 販 売 サイト フェイス に 対 する 海 外 からの 不 正 アクセスにより 情 報 が 流 出 フェイス Web サイトにて クレジットカードを 利 用 した 顧 客 7 万 4048 名 分 のクレジッ トカード 番 号 およびクレジットカード 有 効 期 限 が 漏 えいした 3オンラインゲームサイトにおける 情 報 漏 えい(2010 年 11 月 ) オンラインゲームサイト 777town.net に 対 する 不 正 アクセスにより 個 人 情 報 ( 氏 名 郵 便 番 号 の 一 部 )およびゲーム 用 ログイン ID パスワード メールアドレスが 約 173 万 人 分 漏 えいした 公 表 される 事 件 数 は 減 っているが 各 事 件 の 被 害 状 況 を 見 る 限 り 被 害 規 模 は 大 きくなっている 関 連 する 情 報 として ソニーのオンラインゲームサイトにおいて 1 億 人 規 模 の 個 人 情 報 流 出 事 件 が 2011 年 に 入 り 発 生 した Web サイトに 潜 む 脆 弱 性 がすべてではないものの サーバシステムにおける 脆 弱 性 対 策 が 不 完 全 であった のが 原 因 と 考 えられる 各 企 業 とも 情 報 漏 えいに 対 する 意 識 向 上 が 進 んでいる 中 数 万 人 規 模 の 漏 えい 事 件 が 発 生 するということは 十 分 な 対 策 が 実 施 されていな いことを 裏 付 ける 1 独 立 行 政 法 人 情 報 処 理 推 進 機 構 セキュリティセンター 2011 年 版 10 大 脅 威 2
また 近 年 スマートフォンやタブレット 端 末 が 脚 光 を 浴 びており Web サイトへのアク セス 手 段 の 多 様 化 も 進 んでいる これまでの PC 携 帯 電 話 を 中 心 としたセキュリテ ィ 対 策 だけでは 十 分 とは 言 えない 今 後 アクセス 手 段 の 多 様 化 が 企 業 のセキュ リティ 対 策 に 要 する 時 間 コストを 一 層 増 大 させるものと 考 える 次 章 にて KCCS が 2010 年 に 実 施 した Web 診 断 実 績 に 基 づき Web サイトにお ける 脆 弱 性 の 具 体 的 な 傾 向 分 析 を 行 う 3
3. Web 診 断 結 果 の 分 析 本 章 では 2009 年 および 2010 年 に 実 施 した Web 診 断 結 果 を 比 較 し 脆 弱 性 検 出 数 や 脆 弱 性 の 種 類 について 比 較 分 析 を 行 う また Web 診 断 を 初 めて 実 施 した 場 合 と 継 続 実 施 した 場 合 の 結 果 についても 比 較 分 析 を 行 う KCCS で 実 施 している Web 診 断 では 検 出 された 脆 弱 性 や 条 件 に 応 じて 危 険 度 を 分 類 している 図 1 に 危 険 度 の 分 類 と 定 義 を 示 す 以 降 の 分 析 では Critical High Medium Low の4つを 対 象 とし アナウンス 要 素 の 大 きい Information は 対 象 外 とする また Critical High は 特 に 危 険 度 の 高 い 脆 弱 性 なため この 2 つを 合 わせて 高 危 険 度 脆 弱 性 と 定 義 する 図 1 危 険 度 の 分 類 と 定 義 4
3.1. Web 診 断 結 果 サマリ 2009 年 および 2010 年 に 実 施 した Web 診 断 結 果 を 比 較 分 析 した 結 果 主 なトピ ックスは 以 下 の 5 つとなる 1 診 断 Web サイトの 95%に 脆 弱 性 があり 内 54%が 高 危 険 度 脆 弱 性 を 含 む 2 脆 弱 性 は クロスサイト スクリプティング( 以 下 XSS)への 未 対 応 が 最 も 多 い 3Web サイトの 機 能 向 上 により 検 出 される 脆 弱 性 項 目 に 変 化 が 見 られる 4スマートフォン 向 け Web サイトにおいても 脆 弱 性 が 検 出 されており 対 策 が 必 要 5 継 続 診 断 は Web セキュリティ 対 策 レベル( 意 識 知 識 ) 向 上 に 有 効 3.2. Web 診 断 実 績 図 2 に Web 診 断 実 施 サイト 数 を 示 す 2010 年 より スマートフォン 向 け Web サ イト 診 断 を 開 始 した 図 2 Web 診 断 実 施 サイト 数 図 3 に 1 診 断 あたりの 平 均 脆 弱 性 検 出 数 を 示 す スマートフォンは PC に 次 ぐ 脆 弱 性 検 出 数 となっている 5
図 3 平 均 脆 弱 性 検 出 数 Web 診 断 数 は 毎 年 実 績 が 異 なるため 平 均 の 脆 弱 性 検 出 数 に 着 目 した 例 年 200 件 以 上 のサイトで Web 診 断 を 実 施 している 中 全 体 の 平 均 脆 弱 性 検 出 数 が 徐 々にではあるが 減 少 していることが 傾 向 としてうかがえる この 要 因 として 近 年 Web サイトにおける 脆 弱 性 については 認 知 されつつあり 書 籍 やインターネットなど でも 一 部 対 策 が 公 開 されていることが 考 えられるだろう しかし 依 然 として 1 サイト あたり 3.3 件 の 脆 弱 性 が 検 出 されていることから 継 続 的 な 取 り 組 みが 重 要 と 考 え る また 2010 年 よりスマートフォン 向 け Web サイトの 診 断 を 開 始 した 診 断 件 数 と しては 少 ないものの 平 均 脆 弱 性 検 出 数 は PC サイトに 次 いで 多 い この 要 因 とし ては PC に 次 いで 画 面 が 大 きく 表 示 エリアが 大 きいこと それに 伴 いフォームなど での 入 力 データが 多 くなることが 考 えられる 現 在 携 帯 電 話 新 機 種 の 約 半 数 がス マートフォンと 言 われ 今 後 さらにその 割 合 は 増 えるだろう 現 状 スマートフォン 向 け Web サイトを PC と 同 じ 内 容 で 提 供 する 企 業 が 多 く PC の Web 診 断 =スマートフォン の Web 診 断 とするケースも 見 受 けられる しかしながら スマートフォン 向 けサービ スは 使 いやすさを 追 求 し 画 面 構 成 のみならず 入 力 インターフェイスも PC とは 異 なる 方 式 になることが 考 えられる このことから 各 社 スマートフォン 向 けの Web サ イトが 用 意 されていくことは 容 易 に 推 測 される これらを 踏 まえると 今 後 の 脆 弱 性 対 策 は PC 携 帯 電 話 に 加 え スマートフォンやタブレット 端 末 といった 新 たなサイトア クセス 手 段 に 対 しても 実 施 する 必 要 がある 6
3.3. 脆 弱 性 の 傾 向 および 分 析 図 4に Web 診 断 における 脆 弱 性 検 出 割 合 を 示 す 脆 弱 性 が 検 出 された Web サ イトの 54%で 高 危 険 度 脆 弱 性 が 存 在 していることがわかる 図 4 脆 弱 性 検 出 割 合 い 図 5 に 高 危 険 度 脆 弱 性 の 内 訳 を 示 す 2 年 連 続 で XSS への 未 対 応 が 最 も 多 図 5 高 危 険 度 脆 弱 性 の 内 訳 過 半 数 のサイトで 高 危 険 度 の 脆 弱 性 が 検 出 されており その 内 訳 も 徐 々にでは あるが 変 化 している XSS への 未 対 応 が 依 然 として 多 いものの クロスサイト リク 7
エスト フォージェリ( 以 下 CSRF) アクセス 制 御 の 不 備 欠 落 セッションフィクセー ションの 占 める 割 合 の 合 計 が 10% 近 く 増 加 している 逆 に SQL インジェクションは 減 少 している 本 傾 向 の 要 因 として 以 下 のことが 推 測 される クロスサイトスクリプティング(XSS XSS) 開 発 者 が XSS への 対 策 を 熟 知 していない もしくは 対 策 については 熟 知 して いるものの 対 応 すべき 箇 所 が 他 の 脆 弱 性 と 比 べ 多 いため Web サイトにお ける 発 生 危 険 箇 所 を 網 羅 できていない 可 能 性 が 高 く 脆 弱 性 検 出 率 は 横 ばい である SQL インジェクション XSS と 並 び 有 名 な 脆 弱 性 である 脆 弱 性 がデータベースにアクセスするための コード 記 述 部 付 近 に 集 中 するので 開 発 者 にとって 対 策 実 施 箇 所 が 絞 り 込 み やすく 脆 弱 性 検 出 率 は 減 少 傾 向 にある クロスサイト リクエスト リクエスト フォージェリ フォージェリ(CSRF SRF) アクセス 制 御 の 不 備 欠 落 セッ ションフィクセーション これらの 脆 弱 性 は 共 通 して 主 に 会 員 管 理 などに 用 いられるログイン 機 能 を 悪 用 するもので データ 改 ざんなどの 不 正 行 為 につながる 近 年 Web サイトが 複 雑 化 しており 会 員 管 理 機 能 を 備 えた Web サイトも 多 くなっていることから 脆 弱 性 検 出 率 は 増 加 傾 向 にある 8
3.4. 診 断 回 数 別 の 傾 向 本 節 で 2010 年 に 初 めて Web 診 断 を 実 施 した 初 回 診 断 と 2009 年 と 2010 と 2 年 連 続 で Web 診 断 を 実 施 した 継 続 診 断 の 結 果 について 比 較 を 行 い その 傾 向 を 探 る なお 継 続 診 断 は 同 一 企 業 が 管 理 する 異 なる Web サイトに 対 しての 診 断 であり 同 一 Web サイトに 対 して 2 年 連 続 Web 診 断 を 実 施 したということではない 図 6 に 初 回 診 断 と 継 続 診 断 の 割 合 を 示 す 継 続 診 断 の 割 合 が 半 数 以 上 とな っている 図 6 初 回 診 断 と 継 続 診 断 の 割 合 図 7 に 初 回 診 断 と 継 続 診 断 で 検 出 された 危 険 度 別 の 脆 弱 性 内 訳 を 示 す 継 続 診 断 では Critical の 割 合 が 9% 減 少 している 9
図 7 脆 弱 性 内 訳 ( 危 険 度 別 ) 図 8 に 継 続 診 断 を 実 施 した A 社 の 脆 弱 性 検 出 数 および 内 訳 を 示 す 大 幅 減 少! 図 8 A 社 脆 弱 性 検 出 数 及 び 内 訳 一 度 Web 診 断 を 実 施 した 企 業 は 脆 弱 性 検 出 結 果 を 目 の 当 たりにすることで Web セキュリティ 対 策 意 識 が 向 上 する Web サイトの 状 態 を 常 に 把 握 するため 定 期 的 に Web 診 断 を 実 施 するケースも 多 い また 継 続 診 断 においては 全 体 の 脆 弱 性 件 数 の 減 少 とそこに 占 める 高 危 険 度 脆 弱 性 の 件 数 が 減 少 する この 要 因 とし ては 脆 弱 性 対 策 を 設 計 段 階 から 考 慮 しての 開 発 や 危 険 度 の 高 い Critical 10
High を 優 先 して 対 策 を 実 施 するためと 考 えられる 3.5. まとめ Web 診 断 結 果 および 分 析 により ほとんどの Web サイトに 脆 弱 性 が 存 在 し その 約 半 数 が 大 きな 被 害 にも 繋 がる 高 危 険 度 脆 弱 性 であることがわかる Web 診 断 を 実 施 することで 危 険 度 にかかわらず Web サイトに 潜 む 脆 弱 性 を 認 識 し 対 策 を 学 ぶことができる それにより リリース 前 の Web サイトにおいては 事 前 に 対 策 を 打 つ ことができ それ 以 降 の Web サイト 設 計 開 発 時 に 活 かすことができる また リリー ス 後 の Web サイトにおいても 現 状 の 問 題 点 を 明 確 に 把 握 することができ 高 危 険 度 脆 弱 性 が 検 出 されれば 即 時 の 対 策 を 打 つことが 可 能 である 例 年 多 くの 企 業 が 継 続 診 断 を 実 施 している 継 続 診 断 により Web サイトにお けるセキュリティ 対 策 レベルを 定 期 的 に 確 認 することで Web サイトに 対 するセキュ リティの 意 識 および 知 識 レベルを 高 めることができる 次 章 では KCCS が 提 供 する Web 診 断 について 説 明 する 11
4. KCCS が 提 供 する Web 診 断 本 章 では KCCS が 提 供 する Web 診 断 について 説 明 する 4.1. 概 要 KCCS では Web サイトに 潜 む 脆 弱 性 を 確 実 に 検 出 することを 重 要 視 している そのため 高 い 専 門 知 識 を 備 えたスタッフが これまでのノウハウを 活 用 した 仕 組 みのもと 診 断 にあたっている 4.2. 特 徴 および 優 位 性 Web サイトにおいて 脆 弱 性 の 有 無 を 確 実 に 判 断 するには Web サイト 上 の 全 ペ ージについて 診 断 を 行 うことが 理 想 である KCCS では ツール 診 断 と 専 門 スタッフ による 手 動 診 断 を 併 用 している 表 1 に ツール 診 断 と 手 動 診 断 の 特 徴 を 示 す ツ ール 診 断 だけでは 信 頼 性 の 高 い 結 果 が 得 られず 手 動 診 断 だけでは 多 くの 時 間 を 要 してしまう この 2 つを 併 用 することで 脆 弱 性 を 効 率 的 かつ 高 精 度 に 検 出 してい る 表 1 ツール 診 断 と 手 動 診 断 の 特 徴 12
以 下 に 特 徴 および 優 位 性 を 列 挙 する 1. 手 動 診 断 だけではなく なく ツール 診 断 を 併 用 することで 脆 弱 性 を 効 率 的 かつ 高 精 度 に 検 出 する 2. 年 間 200 件 以 上 の 診 断 実 績 からノウハウ ノウハウを 蓄 積 している 3. PC 向 けサイト 以 外 にも 携 帯 向 けサイト サイトやスマートフォン 向 けサイト サイトといった といったさま ざまなサイト 特 性 に 合 わせた Web 診 断 を 実 施 している 4. Flash や Ajax といった Web2.0 を 駆 使 したサイト サイトに 対 する 診 断 プランも 用 意 してい る 5. 各 種 業 界 団 体 と 連 携 し 最 新 情 報 の 入 手 とともに 診 断 パターンも 更 新 してい る 13
4.3. Web 診 断 プラン Web サイトを 診 断 するにあたり Web サイトの 実 装 形 式 サイトで 保 持 する 情 報 の 重 要 性 納 期 などがプランを 決 める 上 での 構 成 要 素 となる KCCS では 表 2 の 診 断 プランを 提 供 し 要 望 に 応 じて 柔 軟 に 対 応 している 表 2 KCCS における Web 診 断 プラン Web 健 康 診 断 プラン Standard プラン Web2.0 プラン Advanced プラン 当 社 エンジニアによるマニュアル 診 断 によって 実 際 のケ ースに 現 れる 主 要 な 脆 弱 性 を 網 羅 した 12 項 目 に 限 定 し 診 断 を 実 施 また Web サーバ(1IP)のプラットフォームの 脆 弱 性 も 診 断 低 価 格 かつスピーディな 診 断 により Web サイトのセキュ リティレベルを 早 急 に 把 握 できる Web アプリケーション 診 断 1 サイト 約 10 ページ 程 度 の 抜 き 取 り 診 断 当 社 エンジニアによるマニュアル 診 断 およびツールでの セミオート 診 断 によって 全 項 目 の 診 断 を 実 施 また Web サーバに 対 するネットワーク 診 断 (OS Web サーバアプリ ケーションなどのプラットフォームが 対 象 )も 実 施 し 総 合 的 かつ 高 精 度 な Web アプリケーション 診 断 が 可 能 Standard プランと 同 様 の 診 断 内 容 に 加 え 当 社 エンジニ アがユーザ 参 加 型 などの 脆 弱 性 が 発 生 しやすい Web サ イトをマニュアル 診 断 ユーザによる HTML の 入 力 や カ スケーディングスタイルシートの 指 定 による 危 険 性 を 診 断 することが 可 能 次 世 代 型 インターネット( 通 称 Web2.0)の Web サイトに 対 応 した Web アプリケーション 診 断 Standard プランと 同 様 の 診 断 に 加 え 当 社 エンジニアによ るソースコード 診 断 を 実 施 セキュリティ 上 の 重 要 な 部 分 に 対 してソースコード 解 析 を 行 うことにより 潜 在 的 な 脆 弱 性 の 発 見 が 可 能 十 分 なコストや 期 間 はかけられないが 診 断 は 実 施 したいという 要 望 に 対 して 14
Web 健 康 診 断 プランのような 簡 易 診 断 も 提 供 している 本 プランは 財 団 法 人 地 方 自 治 情 報 センター(LASDEC)が 定 めた 診 断 条 件 に 則 した 診 断 であり Web サイトに 潜 む 脆 弱 性 の 傾 向 を 確 認 できる 診 断 方 法 によっては 検 知 できるレベルに 差 があ る 企 業 としては Web 診 断 は 目 的 を 明 確 にし それに 合 致 するプランを 慎 重 に 選 択 する 必 要 がある 4.4. まとめ Web サイトセキュリティ 対 策 が 認 知 されるようになってから Web 診 断 は 多 くの セキュリティベンダから 提 供 されている 企 業 は Web 診 断 を 行 う 上 で 期 間 やコスト も 重 要 であるが 何 のために 実 施 するのかを 考 え 診 断 サービスを 選 択 する 必 要 がある 15
5. セキュアな Web サイト 構 築 本 章 では セキュアな Web サイト 構 築 に 対 する 取 り 組 みについて 説 明 する 企 業 が Web 診 断 を 実 施 する 理 由 は 大 きく 以 下 の 2 つに 分 けられる 理 由 1 現 在 稼 働 中 の Web セキュリティレベルを 知 る 理 由 2 Web サイトのリリース 前 に セキュリティ 診 断 を 行 うことにより 安 全 な Web サイトのリリースを 目 指 す KCCS が Web 診 断 サービスを 開 始 した 2004 年 は 2005 年 の 個 人 情 報 保 護 法 全 面 施 行 を 前 にして Web セキュリティは 注 目 を 集 めていた そのため 主 な 実 施 理 由 は 理 由 1 であった その 後 Web サイトから 個 人 情 報 が 漏 えいする 事 件 が 頻 繁 に 発 生 したことや 通 称 J-SOX といわれる 金 融 商 品 取 引 法 の 改 訂 により 内 部 統 制 が 強 化 されたことで 2007 年 頃 からは 理 由 2 が 多 くなった 近 年 企 業 の Web サイト セキュリティ 対 策 が 進 んでいる その 対 策 の 1 つとして Web 診 断 は 重 要 視 されてい る 5.1. Web サイトセキュリティ 対 策 の 成 熟 度 モデル KCCS では 企 業 の Web サイトセキュリティに 対 する 成 熟 度 をモデル 化 し 定 義 し ている Web セキュリティ 対 策 成 熟 度 モデルを 表 3に 示 す ここでの 評 価 指 標 は 以 下 の 通 り : 自 社 もしくはセキュリティベンダ セキュリティベンダを 活 用 して 実 施 している : 実 施 していない 表 3 Web セキュリティ 対 策 成 熟 度 モデル レベル 0 は 脆 弱 性 対 策 を 何 も 実 施 していない もしくは 診 断 を 実 施 し 脆 弱 性 16
を 把 握 しているものの 改 修 していない 状 態 である 結 果 として 危 険 度 が 高 い Web サ イトであることが 多 い レベル 1 は 診 断 を 実 施 し その 都 度 脆 弱 性 を 修 正 している 状 態 である こ のレベルでは 開 発 工 程 においてセキュリティ 対 策 が 十 分 に 考 慮 されていないこと から 診 断 後 に 手 戻 りによる 修 正 作 業 が 数 多 く 発 生 し その 結 果 多 大 な 時 間 とコ ストを 要 していると 考 えられる レベル 1 の 状 態 においても 単 に 診 断 を 実 施 するこ とではなく 専 門 家 による 網 羅 的 な 診 断 が 必 要 である KCCS では Standard プ ランがこれにあたり 専 門 家 の 手 動 作 業 による 精 度 の 高 い 診 断 に 加 えて ツール 診 断 を 実 施 することにより 網 羅 性 を 維 持 している さらに レベル 1 においては 診 断 を 実 施 した 後 にどのように 改 修 するかが 大 切 である Standard プランには 報 告 会 も 含 まれており 報 告 書 に 基 づいた 診 断 結 果 のフィードバックを 行 っている 報 告 会 に 開 発 ベンダも 出 席 することで 実 装 方 法 等 の 確 認 及 び 質 問 が 可 能 となるため 効 果 的 な 改 修 が 可 能 となる レベル 2 は 事 前 に 定 めたガイドラインに 則 して Web サイトの 設 計 開 発 時 に 対 策 を 実 施 するとともに リリース 前 にも 診 断 を 実 施 している 状 態 である このレベ ルでは レベル 1 と 比 べて 診 断 後 の 手 戻 りが 少 なくなる また 設 計 開 発 時 に 対 策 が 行 われていることから リリース 前 の 診 断 においても 項 目 や 対 象 の 絞 り 込 みが 可 能 であり そうした 意 味 で レベル 1 よりも 費 用 対 効 果 も 高 い よって いかに 最 初 からセキュアコーディングを 効 率 的 に 実 施 するかが 重 要 である その 指 標 とな るのがガイドラインである 一 概 に ガイドライン と 言 っても 一 般 に 公 開 されている 汎 用 的 なものから 各 社 の 開 発 形 態 に 則 したものまで 幅 広 い そこで KCCS では 各 開 発 工 程 に 応 じたガイドラインの 策 定 も 可 能 な ガイドライン 策 定 コンサルティン グサービス を 展 開 している このサービスでは 導 入 企 業 の 開 発 形 態 に 則 したガイ ドラインの 策 定 支 援 を 行 う レベル 3 は レベル 2 におけるセキュリティ 対 策 の 取 り 組 みに 加 え 自 社 内 に セキュリティ 専 任 部 門 を 設 置 するとともに ガイドラインに 従 って 開 発 者 を 継 続 的 に 教 育 している 状 態 である レベル 2 から レベル 3 へシフトするための 1 つの 方 法 として KCCS が 提 供 している Web アプリケーション 診 断 トレーニング ならびに Web アプリケーションセキュア 開 発 トレーニング がある 17
5.2. まとめ セキュアな Web サイトを 構 築 するには 診 断 を 実 施 することで 自 社 のサイトの 傾 向 分 析 を 行 い それに 則 してガイドラインの 策 定 を 行 うべきである その 後 ガイ ドラインに 則 した 設 計 開 発 (セキュアコーディング)が 有 効 である さらにガイドライ ン 策 定 は 一 度 限 りのものではなく ガイドラインの 見 直 し 継 続 的 な 診 断 実 施 を 推 奨 する 18
6. おわりに Web 診 断 を 実 施 している 企 業 の 約 60%が 継 続 診 断 であるということからも 企 業 の Web サイトセキュリティ 対 策 の 意 識 向 上 とともに 対 策 が 進 んでいることがわかる その 一 方 Web サイト 構 築 技 術 も 日 々 進 歩 しており それに 応 じて 対 処 すべき 脆 弱 性 も 増 加 している よって 企 業 は 常 に 新 しい 情 報 を 入 手 し Web サイトのセキュリティ 対 策 を 強 化 しなければならない 企 業 は Web 診 断 ガイドライン 改 訂 教 育 を 継 続 的 に 実 施 し 続 けることが 重 要 である 19
7. お 問 い 合 わせ 先 京 セラコミュニケーションシステム 株 式 会 社 KCCS カスタマーサポートセンター 0120-911-901(フリーコール) 050-3161-3924( 携 帯 電 話 PHS IP 電 話 など) 受 付 時 間 平 日 9:00~17:00(17:00 以 降 のお 問 い 合 わせは 自 動 応 答 になります ) ホームページ http://www.kccs.co.jp/ E-mail kccs-support@kccs.co.jp 20