危 険 なWebサイトのライフサイクル の 現 状 と 施 策 について HASHコンサルティング 株 式 会 社 徳 丸 浩 twitter id: @ockeghem
経 歴 徳 丸 浩 の 自 己 紹 介 1985 年 京 セラ 株 式 会 社 入 社 1995 年 京 セラコミュニケーションシステム 株 式 会 社 (KCCS)に 出 向 転 籍 2008 年 KCCS 退 職 HASHコンサルティング 株 式 会 社 設 立 経 験 したこと 現 在 京 セラ 入 社 当 時 はCAD 計 算 幾 何 学 数 値 シミュレーションなどを 担 当 その 後 企 業 向 けパッケージソフトの 企 画 開 発 事 業 化 を 担 当 1999 年 から 携 帯 電 話 向 けインフラ プラットフォームの 企 画 開 発 を 担 当 Webアプリケーションのセキュリティ 問 題 に 直 面 研 究 社 内 展 開 寄 稿 などを 開 始 2004 年 にKCCS 社 内 ベンチャーとしてWebアプリケーションセキュリティ 事 業 を 立 ち 上 げ HASHコンサルティング 株 式 会 社 代 表 http://www.hash-c.co.jp/ 独 立 行 政 法 人 情 報 処 理 推 進 機 構 非 常 勤 研 究 員 http://www.ipa.go.jp/security/ 著 書 体 系 的 に 学 ぶ 安 全 なWebアプリケーションの 作 り 方 (2011 年 3 月 ) 技 術 士 ( 情 報 工 学 部 門 ) Copyright 2008-2014 HASH Consulting Corp. 2
問 題 意 識 2008 年 頃 からサイト 間 格 差 の 拡 大 を 実 感 セキュリティ 格 差 社 会 インターネットは 繋 がっている 情 報 だけが 繋 がつているのではなく 安 全 性 についても 相 互 に 繋 がり がある ゆえに 重 要 なウェブサイト だけを 安 全 にすれば 良 いわけ ではない 安 全 でないサイトに 足 を 引 っ 張 られて 安 全 なはずのサイトま でも 安 全 でなくなる 事 態 が 発 生 する パスワードリスト 攻 撃 DNS amp 攻 撃 水 飲 み 場 攻 撃 Copyright 2008-2014 HASH Consulting Corp. 3
ウェブサイトが 加 害 者 になる 状 況 の 例 Gambler 型 マルウェアの 感 染 源 になる パスワードリスト 攻 撃 に 悪 用 されるアカウント 情 報 の 流 出 いわゆる 水 飲 み 場 攻 撃 ソフトウェア 配 布 サイト アップデートサイトの 改 ざんによるも の レンタルサーバーの 他 のユーザに 影 響 を 及 ぼしてしまうもの (シンボリックリンク 攻 撃 等 ) 迷 惑 メールの 配 信 に 悪 用 される その 他 多 くの 改 ざん 事 件 Copyright 2012-2014 HASH Consulting Corp. 4
脆 弱 性 の 悪 用 不 正 アクセス 不 正 ログインの 原 因 Webアプリケーションの 脆 弱 性 が 原 因 SQLインジェクション クロスサイト リクエストフォージェリ(CSRF) プラットフォームの 脆 弱 性 が 原 因 PHP Tomcat Apache Struts OpenSSL (Heartbleed) 認 証 を 突 破 管 理 者 パスワードが 推 測 される デフォルトパスワードのまま Tomcatの 管 理 機 能 等 管 理 者 端 末 がマルウェアに 感 染 ( 水 飲 み 場 攻 撃 等 ) Evernote Twitter Yahoo! Japan(?) 利 用 者 の 認 証 が 突 破 される パスワードリスト 攻 撃 辞 書 攻 撃 リバースブルートフォース 攻 撃 (JAL ANA github ) Copyright 2008-2014 HASH Consulting Corp. 5
なぜ 脆 弱 なWebアプリが 作 られるか? Copyright 2008-2014 HASH Consulting Corp. 6
発 注 者 の 問 題 Copyright 2008-2014 HASH Consulting Corp. 7
責 任 と 契 約 について ウェブアプリケーションの 脆 弱 性 の 責 任 は 発 注 者 か 開 発 者 か 発 注 者 に 責 任 というのが 主 流 のよう ただし 判 例 があるわけではないので 要 注 意 経 産 省 の モデル 契 約 書 では 以 下 のような 記 述 がある なお 本 件 ソフトウェアに 関 するセキュリティ 対 策 については 具 体 的 な 機 能 遵 守 方 法 管 理 体 制 及 び 費 用 負 担 等 を 別 途 書 面 により 定 めることとしている ( 第 50 条 参 照 ) セキュリティ 要 件 をシステム 仕 様 としている 場 合 には システ ム 仕 様 書 との 不 一 致 に 該 当 し 本 条 の 瑕 疵 に 含 まれる (セキュリティ) 第 50 条 乙 が 納 入 する 本 件 ソフトウェアのセキュリティ 対 策 について 甲 及 び 乙 は その 具 体 的 な 機 能 遵 守 方 法 管 理 体 制 及 び 費 用 負 担 等 を 協 議 の 上 別 途 書 面 により 定 めるものとする 発 注 者 は 自 衛 のために 要 求 仕 様 にセキュリティ 要 件 を 盛 り 込 んでおく べきだが 参 照 http://www.meti.go.jp/policy/it_policy/softseibi/index.html 8
参 考 製 造 物 責 任 (PL) 法 では 不 動 産, 未 加 工 農 林 畜 水 産 物, 電 気,ソフトウェアといったものは 該 当 しないことになります http://www.consumer.go.jp/kankeihourei/seizoubutsu/pl-j.html より 引 用 9
典 型 的 な 要 件 定 義 書 の 例 (1) 5 受 託 業 務 の 内 容 受 託 業 務 は 基 本 設 計 書 に 基 づいて 実 施 する (1) 機 能 要 件 整 理 新 システムの 機 能 を 別 表 1 新 システム 機 能 一 覧 に 示 す 基 本 設 計 書 を 踏 まえ 必 要 となる 機 能 要 件 を 整 理 し システム 機 能 要 件 書 と してまとめる 受 託 者 から 機 能 要 件 について 提 案 がある 場 合 は 山 梨 県 教 育 委 員 会 及 び 受 託 者 双 方 の 協 議 により 提 案 の 受 け 入 れ 及 び 内 容 を 決 定 する (2) 詳 細 設 計 1 システム 機 能 設 計 6 セキュリティ 設 計 ウィルスや 不 正 アクセス 等 システムに 対 する 脅 威 を 明 確 にし ユーザー 認 証 アクセス 制 御 権 限 管 理 等 の 観 点 から 具 体 的 なセキュリティ 対 策 を 定 義 する 設 計 内 容 をセキュリティ 定 義 書 としてまとめる 新 山 梨 県 立 図 書 館 情 報 システム 構 築 業 務 委 託 仕 様 書 https://www.pref.yamanashi.jp/toshokan/documents/system/documents/03gyoumuita ku_shiyousho.pdf より 引 用 10
飛 騨 市 図 書 館 システムの 購 入 仕 様 3-2 ソフトウェアの 必 須 要 件 (1)セキュリティ 1 業 務 端 末 で 使 用 できる 本 システムの 機 能 は 認 証 レベルによ つて 異 なるものとし 端 末 使 用 者 を 特 定 し 不 正 操 作 防 止 の 対 策 が 施 されていること 2 インターネットに 接 続 するため クラッカー 防 止 ウイルス 対 策 等 高 いセキュリティ 対 策 が 確 保 されていること 飛 騨 市 図 書 館 システム 購 入 仕 様 書 より 引 用 11
ふるさと 宮 崎 人 材 バンクホームページ 全 面 改 修 業 務 委 託 仕 様 書 4 その 他 システムに 関 すること (1)セキュリティ 対 策 について 1 コンピュータウィルス 対 策 を 実 施 すること 2 データ 漏 えい 改 ざん 対 策 を 実 施 すること 3 アプリケーションはSQLインジェクションやクロスサイトスクリプティング 対 策 などセキュリティ 対 策 を 施 したプログラムを 適 用 すること (2) 運 用 保 守 について 1 セキュリティ(ウィルス 対 策 セキュリティパッチの 適 用 等 )に 関 しては 常 に 最 新 の 情 報 を 入 手 し その 対 策 を 実 施 すること 2 日 常 のシステム 監 視 を 行 い 異 常 がみられる 場 合 は 迅 速 に 対 応 すること 3 必 要 なログは 一 定 期 間 保 存 し 万 一 の 場 合 には 原 因 追 求 が 的 確 に 行 え るようにすること 4 バックアップはコンテンツの 更 新 頻 度 等 を 考 慮 し 最 適 なタイミングで 実 施 すること また 障 害 発 生 後 の 迅 速 なリカバリが 可 能 であること http://www.pref.miyazaki.lg.jp/parts/000187490.pdf より 引 用 12
奈 良 市 ホームページリニューアル 業 務 委 託 仕 様 書 3-2 検 収 コ SLA 要 件 Copyright 2008-2014 HASH Consulting Corp. http://www.city.nara.lg.jp/www/contents/1317628426069/files/itakushiyo.pdf より 引 用 13
開 発 者 ( 受 注 者 )の 問 題 Copyright 2008-2014 HASH Consulting Corp. 14
開 発 者 はどのようにIT 知 識 を 習 得 するか? 書 籍 インターネット 検 索 Q&Aサイト 職 場 の 先 輩 に 聞 く Copyright 2008-2014 HASH Consulting Corp. 15
なぜPHP 入 門 書 に 着 目 したか Webアプリの 多 くがPHPで 記 述 されている 特 に 手 早 くWebスクリプトを 習 得 したい 人 にニーズがある PHP 入 門 書 そのものが 非 常 に 多 い Yahoo! 知 恵 袋 を 見 ていると なぜこんなソースを? という 書 き 方 が 多 い PHP 入 門 書 を 読 むと むむむ となる ある 程 度 書 けるようになったら それ 以 上 勉 強 しない and/or ググってすます 知 恵 袋 で 済 ます 人 が 多 いと 予 想 Copyright 2008-2014 HASH Consulting Corp. 16
http://www.slideshare.net/hirokawa/php-con2013ub より 引 用 17
18
PHP 入 門 書 にセキュリティを 求 めるのか? セキュリティのことは 後 回 しでも 良 いのでは? 一 応 Yes しかし できる 限 り 最 初 から 正 しい 方 法 を 教 えた 方 が 良 い あなたが 習 ってきたPHPは 間 違 っている というのも 酷 いつセキュリティを 学 ぶの? 今 でしょ 永 遠 にセキュリティを 学 ばない 人 が 多 いと 予 想 最 初 に 学 ぶ 時 点 で できるだけ 安 全 な 方 法 を 学 んで 欲 しい Copyright 2008-2014 HASH Consulting Corp. 19
どのPHP 本 が 売 れているか? Copyright 2008-2014 HASH Consulting Corp. 20
よくわかるPHPの 教 科 書 発 売 日 : 2010/9/14 Amazonランキング:5,889 価 格 : 2,604- 機 能 対 応 クラス SQL メール アップロード 認 証 サンプル (MySQL) 一 行 掲 示 板 Copyright 2008-2014 HASH Consulting Corp. 21
本 書 の 特 徴 カラー 図 版 を 多 数 用 いた 親 しみやすい 版 組 み 全 ページカラー! ジャパネットたにぐち と 異 名 をもつ 軽 妙 な 語 り 口 初 歩 の 入 門 から DB ファイルアップロード メール 送 信 認 証 など 一 通 りの 機 能 開 発 が 学 べる コードはゆるい 感 じ Copyright 2008-2014 HASH Consulting Corp. 22
本 書 を 読 んでの 所 感 セキュリティには 一 応 の 配 慮 をしている SQL 呼 び 出 しはmysql 関 数 + mysql_real_escape_stringに よるエスケープ mysql 関 数 は PHP5.5で 非 推 奨 になったが 本 書 発 行 時 点 では 決 まっていなかったので 仕 方 がない とは 言 え 本 書 の 内 容 が 古 くなった 感 はある MySQLに 特 化 した 記 述 が 気 になる( 文 字 列 リテラルをダブルクォー トで 囲 むなど) XSS 対 策 は 配 慮 しているが 抜 けもある CSRF 対 策 はしていない Copyright 2008-2014 HASH Consulting Corp. 23
SQLインジェクションはどうか // ここまでで 認 証 済 みであるこの 検 査 が 済 んでいる $id = $_REQUEST['id']; // 投 稿 を 検 査 する $sql = sprintf('select * FROM posts WHERE id=%d', mysql_real_escape_string($id)); $record = mysql_query($sql) or die(mysql_error()); $table = mysql_fetch_assoc($record); if ($table[ member_id ] == $_SESSION[ id ]) { // 投 稿 者 の 確 認 // 投 稿 した 本 人 であれば 削 除 mysql_query('delete FROM posts WHERE id='. mysql_real_escape_string($id)) or die(mysql_error()); } ここにSQLインジェクション しかし DELETE FROM 文 なので 表 示 はない Copyright 2008-2014 HASH Consulting Corp. 24
SQL 文 のエラーが 起 こるか 否 かで 情 報 を 盗 む SQLインジェクションにより 実 行 されるSQL 文 の 例 DELETE FROM posts WHERE id=18-(select id FROM members WHERE id LIKE char(49) ESCAPE IF(SUBSTR((SELECT email FROM members LIMIT 1,1),1,1)>='M', 'a', 'ab'))) WHERE 句 の 中 18-(SELECT WHERE ) 中 のWHERE 句 は LIKE 述 語 にESCAPE 句 がある ESCAPE 句 はIF 関 数 により membersの1 行 目 の1 文 字 目 が M 以 上 の 場 合 a それ 以 外 の 場 合 ab SQL 文 の 文 法 上 ESCAPE 句 は1 文 字 以 外 だとエラー この 結 果 を 繰 り 返 すことによって 対 象 文 字 列 を 絞 り 込 む ブラインドSQLインジェクション 続 きはデモで Copyright 2008-2014 HASH Consulting Corp. 25
CSRFはどうか? 005: if (isset($_session['id']) && $_SESSION['time'] + 3600 > time()) { 006: // ログインしている 省 略 014: } else { 015: // ログインしていない 016: header('location: login.php'); exit(); 017: } 018: 019: // 投 稿 を 記 録 する 020: if (!empty($_post)) { 021: if ($_POST['message']!= '') { CSRF 脆 弱 性 対 策 していない 022: $sql = sprintf('insert INTO posts SET member_id=%d, message="%s", reply_post_id=%d, created=now()', 023: mysql_real_escape_string($member['id']), 024: mysql_real_escape_string($_post['message']), 025: mysql_real_escape_string($_post['reply_post_id']) 026: ); 027: mysql_query($sql) or die(mysql_error()); 028: 続 きはデモで 029: header('location: index.php'); exit(); 030: } 031: } Copyright 2008-2014 HASH Consulting Corp. 26
気 づけばプロ 並 みPHP 発 売 日 : 2013/10/15 Amazonランキング:5,117 価 格 : 2,625- 機 能 対 応 クラス SQL メール アップロード 認 証 サンプル (MySQL/PDO) ショッピングサイト Copyright 2008-2014 HASH Consulting Corp. 27
本 書 の 特 徴 いきなりはじめるPHP~ワクワク ドキドキの 入 門 教 室 ~ ( 通 称 谷 藤 本 )の 続 編 にあたる ショッピングサイトの 基 本 機 能 であるショッピングバスケット 作 りを 通 じて プロ 並 み を 目 指 す らしい PHP 習 得 を 通 じて 多 くの 方 の 就 業 支 援 を 目 指 している Copyright 2008-2014 HASH Consulting Corp. 28
本 書 を 読 んでの 所 感 いきなり 始 める~ から 継 承 した 分 かりやすさ PHPの 書 き 方 としては 古 臭 いもの(10 年 前 くらい ) バリデーションはほぼしていない SQL 呼 び 出 しはすべてPDOのプレースホルダを 用 いている (Good!) XSS 対 策 のHTMLエスケープは 入 力 時 にまとめて 行 ってい る(Bad!) クロスサイト リクエストフォージェリ(CSRF) 対 策 はしていない パスワードはソルトなしMD5で 保 存 " 一 度 MD5で 暗 号 化 されてしまうと スーパーコンピュータでも 簡 単 には 解 読 できません" Copyright 2008-2014 HASH Consulting Corp. 29
PHP 入 門 書 に 関 するまとめ PHPの 入 門 書 には 課 題 のあるものが 多 い わかりやすさ を 全 面 に 出 した 書 籍 にその 傾 向 が セキュリティ 以 前 のコードの 品 質 が 低 い 入 力 を 直 ちにHTMLエスケープする 場 合 が 多 い せめて 以 下 をお 願 いしたい SQLはプレースホルダで 接 続 時 に 文 字 コードを 指 定 HTMLのエスケープは 出 力 時 に 文 脈 に 応 じて できればCSRF 対 策 も 説 明 して( 控 えめなお 願 い) でも 良 書 も 増 えてきたよ PHP 逆 引 きレシピ 第 2 版 は 本 当 にすごい ネット 検 索 なんかせずに 逆 引 きレシピ2 版 を 見 るといいよ Copyright 2008-2014 HASH Consulting Corp. 30
Google 検 索 Q&Aサイト Copyright 2008-2014 HASH Consulting Corp. 31
SQLインジェクション 対 策 でGoogle 検 索 して 上 位 15 記 事 を 検 証 した http://d.hatena.ne.jp/ockeghem/20111109/p1 より 引 用 32
SQLインジェクション 対 策 でGoogle 検 索 して 上 位 15 記 事 を 検 証 した( 結 論 ) http://d.hatena.ne.jp/ockeghem/20111109/p1 より 引 用 33
ベストアンサーに 脆 弱 性 がある 例 は 珍 しくない SQLインジェクション 脆 弱 性 有 り 最 近 は 改 善 されつつある http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1427570179 より 引 用 34
プラットフォームの 脆 弱 性 Copyright 2008-2014 HASH Consulting Corp. 35
Struts1に 脆 弱 性 http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html より 引 用 36
http://news.mynavi.jp/news/2014/04/26/103/ より 引 用 37
サポートライフサイクルポリシーとは サポートライフサイクルポリシーとは 製 品 サポートについて のサポートポリシーを 文 書 化 したもの 厳 密 な 契 約 ではないが 購 入 者 に 対 する 約 束 と 考 えられる マイクロソフト 社 の 取 り 組 みが 有 名 2002 年 10 月 に 最 初 に 発 表 2004 年 6 月 に 更 新 詳 しくは 次 のスライドで Copyright 2008-2014 HASH Consulting Corp. 38
マイクロソフト 社 のサポートライフサイクルポリシー メインストリームサポート メインストリームサポート 延 長 サポート 次 のうちいずれか 長 い 方 製 品 発 売 から5 年 後 継 製 品 の 発 売 から2 年 次 のうちいずれか 長 い 方 メインストリームサポート 終 了 から5 年 2 番 目 の 後 継 製 品 の 発 売 から2 年 マイクロソフト 社 のサポートポリシーでは 最 新 の 製 品 を 使 う 限 り 7 年 間 のサポート が 保 証 されている( 追 加 費 用 無 し) Copyright 2008-2014 HASH Consulting Corp. 39
日 本 IBMのサポートライフサイクルポリシー 分 散 ソフトウェア 製 品 (IBM プログラムのご 使 用 条 件 (IPLA)に 基 づくソフトウ ェア 製 品 )について: 2008 年 2 月 以 降 Lotus, Information Management, Rational, Tivoli および WebSphere ブランドのIPLA 製 品 の 大 多 数 は エンハンスト サポート ライフ サイクル ポリシーの 製 品 として 発 表 され 製 品 が 使 用 可 能 となった 日 (GA 日 )から 最 低 5 年 間 のサポートを 提 供 する ある 製 品 のコンポーネントとなっている 同 梱 されているソフトウェアは 全 て 同 じサポー ト 期 間 となる 少 なくともサポート 終 了 日 の12カ 月 前 には サポート 終 了 (EOS)のお 知 らせをする 顧 客 は サポート 終 了 前 に 新 しいバージョンへの 移 行 を 検 討 また サポート 終 了 日 は 4 月 または9 月 のいずれかとなる サポート 期 間 の 情 報 は 全 て 一 つのサイトで 提 供 している スタンダード サポート ライフサイクル ポリシーの 製 品 は 製 品 が 使 用 可 能 となった 日 (GA 日 )から 最 低 3 年 間 のサポートを 提 供 する GAから5 年 では 稼 働 期 間 中 のパッチ 提 供 が 打 ち 切 られる 可 能 性 がある http://www-935.ibm.com/services/jp/ja/it-services/software-supportguide-handbook-practices.html 40
Request for Comments: Release Process(PHP) Yearly release cycle 3 years release life cycle 2 years bug fixes only 1 year security fixes only 下 図 のように PHP5.x(2 番 目 の 数 字 )を 使 い 続 けるのは 2~3 年 が 限 度 https://wiki.php.net/rfc/releaseprocess より 引 用 41
サポートライフサイクルポリシーまとめ サポートライフサイクルポリシーとは 製 品 選 定 時 にサポートライフサイクルポリシーを 確 認 すること サポート 期 間 が 足 りないようなら 製 品 提 供 元 と 交 渉 する サポート 計 画 を 検 討 する サポートの 長 い 製 品 を 選 定 する PHPなどもRedHat/CentOSのパッケージで 導 入 すれば10 年 サポートに 途 中 でバージョンアップする 計 画 を 立 てておく( 予 算 も) オープンソースソフトウェアの 場 合 バージョンアップにとことん 付 き 合 うというやり 方 ももちろんあり Copyright 2008-2014 HASH Consulting Corp. 42
パスワードリスト 攻 撃 Copyright 2008-2014 HASH Consulting Corp. 43
パスワードリスト 攻 撃 とは サイト 運 営 者 脆 弱 サイト 運 営 者 サイト 利 用 者 攻 撃 者 攻 撃 者 Copyright 2014 HASH Consulting Corp. 44
Webサイトは どこまでやれば いいのか? パスワード 認 証 に 対 する 施 策 は 利 用 者 の 責 任 をサイ ト 側 が * 救 済 する* 意 味 合 いが 強 い Webサイトが * 最 低 * しないといけないのは 下 記 ある 程 度 長 いパスワードをつけられること SQLインジェクション 等 の 脆 弱 性 を 排 除 すること 1 文 字 のパスワードをつけられたら それは 脆 弱 性? 従 来 の タテマエ 論 からすると それはサイトの 責 任 ではなく 利 用 者 の 責 任 他 の 人 が 知 らないパスワードをつけるのは 利 用 者 の 責 任 大 事 なことなので 大 きな 文 字 にしました Copyright 2014 HASH Consulting Corp. 45
パスワードリスト 攻 撃 の 登 場 人 物 悪 いのは 誰? パスワードをお 漏 らししたサイト パスワードリスト 攻 撃 を 受 けたサイト パスワードリスト 攻 撃 により 不 正 ログインされた 利 用 者 攻 撃 者 Copyright 2014 HASH Consulting Corp. 46
1 番 悪 いのは 攻 撃 者 これは 自 明 Copyright 2014 HASH Consulting Corp. 47
2 番 目 にわるいのは パスワードをお 漏 らししたサイト 利 用 者 からお 預 かりしたパスワードを 漏 えいした 責 任 Copyright 2014 HASH Consulting Corp. 48
3 番 目 に 悪 いのは パスワードリスト 攻 撃 により 不 正 ログインされた 利 用 者 パスワードの 使 い 回 し をしていた 責 任 Copyright 2014 HASH Consulting Corp. 49
1 番 悪 くないのは パスワードリスト 攻 撃 を 受 けたサイト 追 求 されるほどの 不 備 はないと 考 えられる Copyright 2014 HASH Consulting Corp. 50
でも 利 用 者 側 にも 言 い 分 が ぼく パスワード 認 証 にしてくれと は 頼 んでないもん! Copyright 2014 HASH Consulting Corp. 51
一 応 のまとめ パスワード 認 証 のタテマエとして パスワードの 管 理 は 利 用 者 の 責 任 という 考 え 方 がある でも それ 無 理 だよね( 本 音 ) そもそも パスワード 認 証 にしてくれと 頼 んでないし パスワード 認 証 が 崩 壊 すると 結 局 サイト 運 営 者 も 困 るし そこで サイト 運 営 者 側 も 頑 張 っている でも サイト 運 営 者 側 の 努 力 だけでは 解 決 しない どこかで 折 り 合 いがつけられれば Copyright 2014 HASH Consulting Corp. 52
ではどうしたらよいか? Copyright 2008-2014 HASH Consulting Corp. 53
発 注 者 向 け 啓 蒙 課 題 と 解 決 の 方 向 性 脆 弱 性 の 責 任 は 発 注 者 にあり 地 方 公 共 団 体 における 情 報 システムセキュリティ 要 求 仕 様 モデル プラン(Webアプリケーション) の 試 み 開 発 者 向 け 啓 蒙 質 問 サイト PHP 入 門 書 等 は 少 しずつ 改 善 が 見 られる さらに かみくだいた 解 説 が 必 要 長 期 的 には 免 許 制 などの 検 討 が 必 要 ではないか? プラットフォームのライフサイクルとパッチ 適 用 の 問 題 従 来 は ( 脆 弱 性 が 多 いから) 例 えば PHPを 避 ける と 言 われたが むしろ 長 期 のサポートと パッチ 適 用 の 容 易 さを 考 慮 すべきでは? メンテナンス 容 易 性 でプラットフォームを 選 択 するべきでは? パスワードの 問 題 新 しい 認 証 手 段 に 期 待 Copyright 2008-2014 HASH Consulting Corp. 54
モデルプランのポイント セキュリティ 保 証 期 間 という 期 間 を 設 け 脆 弱 性 リスト で 示 した 脆 弱 性 に 限 定 して 対 処 ( 脆 弱 性 がないようにする)を 求 めている ( 万 一 運 用 時 に 脆 弱 性 が 発 覚 したら 追 加 費 用 なしで 修 補 を 求 める) セキュリティ 保 証 期 間 =5 年 間 ( 稼 働 予 定 期 間 ) 追 加 費 用 なし 無 償 Copyright 2008-2014 HASH Consulting Corp. 55
追 加 費 用 なし の 効 用 リスクの 見 積 もりを 提 案 者 (ベンダー)に 委 ねている 自 ら 開 発 したソフト 選 定 したソフトで 事 後 (セキュリティ 保 証 期 間 中 )に 脆 弱 性 が 発 覚 するリスクを 見 込 んで 保 守 費 用 に 対 応 費 用 を 積 んでおいてください 地 方 公 共 団 体 の 調 達 = ほとんど 入 札 となれば ( 開 発 者 は)できるだけセキュアなソフト 開 発 をする (SIerは)できるだけセキュアなソフトを 選 定 する というインセンティブが 働 く( 保 守 費 用 を 安 くできるから) 地 方 公 共 団 体 だけでなく 他 にも 広 がれば Copyright 2008-2014 HASH Consulting Corp. 56
モデルプランの 採 用 が 進 むと 脆 弱 性 を 作 り 込 まない 開 発 体 制 ( 構 築 体 制 ) 整 えている 優 秀 なベンダーの 製 品 の 採 用 を 促 進 し そうでない 製 品 を 排 除 す る 方 向 に Copyright 2008-2014 HASH Consulting Corp. 57
提 案 者 にとってのモデルプランの 意 義 セキュリティ 施 策 について 何 をどこまでやればよいかを 明 示 セキュリティ 施 策 の 対 応 範 囲 を 明 確 にする 脆 弱 性 対 応 セキュリティ 機 能 セキュリティ 検 査 セキュリティ 保 証 期 間 内 の 追 加 費 用 無 しで の 脆 弱 性 修 補 選 定 ソフトウェアのパッチ 適 用 の 確 認 セキュリティ 保 証 期 間 の 導 入 により サイトの 稼 働 期 間 を 通 じて 安 全 を 維 持 することを 目 指 す 提 案 時 に 責 任 範 囲 を 明 確 にすることにより 提 案 の 土 俵 を 統 一 し 公 平 なベンダー 選 定 を 目 指 す Copyright 2008-2014 HASH Consulting Corp. 58
RedHatのサポートライフサイクルポリシー 7 年 から10 年 に 延 長 http://www.itmedia.co.jp/enterprise/articles/1204/12/news016.html より 引 用 61
RedHatのサポートライフサイクルポリシー(Cont.) 62
RedHat/CentOSの 現 行 バージョンはいつまで 使 える? Red Hat EL5/CentOS5: 2017/3/31まで Red Hat EL6/CentOS6: 2020/11/30まで http://wiki.centos.org/faq/general#head-fe8a0be91ee3e7dea812e8694491e1dde5b75e6d 63
まとめ 脆 弱 なWebサイトが 作 られる 原 因 を 考 察 発 注 開 発 運 用 利 用 者 に 原 因 がある つまり 全 部 関 係 者 が 多 いため 迅 速 な 対 応 には 限 界 がある 発 注 者 開 発 者 は 徐 々にではあるが 改 善 の 兆 しが 安 かろう 悪 かろうのサイトは 減 らない 利 用 者 のスキルは 向 上 しない メンテナンス 容 易 性 パッチ 適 用 容 易 性 からプラットフォームを 選 択 する 貧 乏 人 はCentOSを 使 え(10 年 サポートだし ) セキュリティ 格 差 社 会 は 今 後 も 拡 大 する 極 力 作 らない 所 有 しない Copyright 2008-2014 HASH Consulting Corp. 64
Thank you Copyright 2008-2014 HASH Consulting Corp. 65