Webセキュリティ診断についてSIer視点から解説。「管理者」や「開発者」が押さえるべきポイント
会社員の方ならば毎年健康診断を受け、車を持っている方ならば2年ごとに車検を受けているでしょう。同じように、Webサイトの健康状態(脆弱性の有無)をチェックするのが「Webセキュリティ診断」です。
セキュリティ事故や攻撃によって問題が発生する前に、脆弱性の有無をしっかり把握し、事前に対策を講じることが大切です。 それにより、問題が発生した場合に比べて、大幅にコストを抑制できますし、ユーザーへの「安全・安心」という付加価値を提供することにもつながります。
この記事では、元システムエンジニアである診断員が、SIerの視点でシステムの管理者や開発者として脆弱性に対応するための抑えるべきポイントをご紹介します。
忍び寄る脆弱性にどう対応する?管理者や開発者が押さえるべきポイント
脆弱性はどこからやってくるのでしょうか。SIerをしておりますと、開発時に意図せず脆弱性を作り込んでしまうことがよくあります。
では、安全なシステムを開発してしまえば、その後も継続して安全な状態なのでしょうか?
脆弱性が生まれる要因としては大きく3つのケースが考えられます。それぞれ対応を見ていきましょう。
1. 既知の脆弱性が入り込むケースへの対応
システム開発時には、より上流工程からセキュリティを考慮しておくことが大切です。上流で対処できていれば、一般的に手戻りのコストは小さくなります。
要件定義や基本設計フェーズでは、「機密性」、「完全性」、「可用性」などのセキュリティ特性をどう確保するか、実現方法などを検討しておきましょう。
詳細設計やコーディングのフェーズでは、独立行政法人情報処理推進機構(IPA)の「安全なウェブサイトの作り方」など、業界標準のセキュリティの観点を参考にするとよいでしょう。
また、各フェーズにおいてセキュリティエンジニアを交えたレビューを実施するなど、 専門的な知見を借りることで、既知の脆弱性が入り込む隙は少なくなります。
2. 未知の脆弱性が発見されるケースへの対応
完璧なシステムを構築したと思ったのに、しばらくたって脆弱性が発見される……。悲しいけれど、これも現実です。
日々新しい脆弱性や攻撃手段が発見されており、こうした未知の脆弱性については、都度対応するしかありません。
メジャーなソフトウェアであれば、多くの情報が提供されているためバージョンアップやセキュリティアップデートなどの対策も難しくはありません。
一方、マイナーなソフトウェアや、独自開発のWebアプリなどは、情報も少なく対応が困難な場合も多々あるでしょう。
このような情報収集や対処方針の検討などを担うエンジニアを自社で確保できればよいのですが、コストの兼ね合いから難しい場合は、情報提供サービスやWebセキュリティ診断サービスなどを利用するのも1つの手段でしょう。
3. 時代経過とともに危険が増すケースへの対応
サイトで利用される暗号アルゴリズムや、セッションIDのランダム値などは、現在のコンピューターの性能では解析が困難であることが安全とされている理由です。しかし、暗号解析技術やコンピューターの性能向上に伴い、安全性が低下していくという特性があります。
例えばスーパーコンピューターの性能を比較してみますと、2021年に本格稼働が開始された「富岳」の処理性能は442.01PFLOPS(ペタフロップス)※1、約20年前の「地球シミュレーター」の35.86TFLOPS(テラフロップス)※2の1万倍以上に!※3
気が付いたら時代遅れになっていた、なんてことがないようにしたいですね。
定期的に「電子政府推奨暗号リスト」などの公開情報を参照し、利用している暗号がいつまで安全なのかを把握し、計画的にアップグレードしましょう。
※1 参考「スーパーコンピュータ「富岳」TOP500、HPCG、HPL-AIにおいて3期連続の世界第1位を獲得」
https://pr.fujitsu.com/jp/news/2021/06/28-1.html
※2 参考 地球シミュレーター「沿革」
http://www.jamstec.go.jp/es/jp/es1/system/history.html
※3 FLOFPS(ふろっぷす)
コンピューターの処理能力の単位で、1秒間に浮動小数点演算を何回できるかという能力を表すもの。
1P(ペタ)=10の15乗
1T(テラ)=10の12乗
安全性を保つために、日々の情報収集や定期的なWebセキュリティ診断を行いましょう
システムのセキュリティレベルは、時間の経過とともに変化することが分かったと思います。
今は安全であっても、1年後、3年後は危険な状態になっているかもしれません。極端に言えば、明日にでも危険な状態になる可能性すらあるのです。
システム管理に携わる方は、このような特性をしっかり理解した上で、日々の情報収集や定期的なWebセキュリティ診断などを運用に取り込むことが大切です。
また、いつも同じ情報源や診断会社を利用するのではなく、複数の選択肢を持っておくことも有効です。 異なる視点や専門性、独自の診断手法により、重要なセカンドオピニオンを授けてくれるでしょう。
まとめ
総務省の調査(2019年)※4によりますと、平日のインターネット利用時間は平均126分にのぼり、インターネットはもはや生活の一部となっています。
しかし、サイバー攻撃やセキュリティ事故は年々増加しており、その手口も多種多様になっています。自身が運営するWebサイトが攻撃され、ユーザーの個人情報が盗まれたり、サイトが改ざんされたりしたらどうでしょうか。
すでに社会インフラとなりつつあるインターネット、だからこそ「安全・安心」なものにしていきたいですね。
※4 参考:総務省 令和2年版 情報通信白書「主なメディアの利用時間と行為者率」https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd252510.html
株式会社信興テクノミストでは、Webセキュリティ診断サービスをご提供しております。
本番稼働中のシステムでも、本番稼働に影響が少ない方法でWebセキュリティ診断を実施することが可能ですので、定期的な診断にもご利用いただけます。ご興味がある方はぜひサービスサイトをご覧ください。