【Scan Security Report-テクマトリックス】Webアプリケーション・セキュリティ・ソリューション〜ツールの特質と、その必要性〜
高度な技術を要さないハッキング。次々に発見される脆弱性。多くの企業がWebアプリケーション・セキュリティに頭を悩ませている現在、自動監査ツールを擁したセキュリティ・ソリューションに注目が集まっている。
今回は、Web アプリケーション脆弱性監査ソフトウェア
特集
特集
今回は、Web アプリケーション脆弱性監査ソフトウェア「AppScan 」を通じて、Webアプリケーション・セキュリティ・ソリューションのニーズや反響、ツールの限界について、前号に続きテクマトリックス株式会社、斉藤大 氏に話を聞いた。
───────────────────────────────────
>> セキュリティコンサルタントが欲する自動監査ツール
Web上で相次ぐ大手企業の失態。原因の一端は、専門的な知識を必要とし、複雑な手作業を強いられるWebアプリケーション監査の不備である。この監査工程を自動で行うツールが、同社が販売するWeb アプリケーション脆弱性監査ソフトウェア「AppScan 」。実際にどのようなセクションが、どのような理由で導入に踏み切っているのだろうか。担当の斉藤大 氏に聞いた。
「まずはWebアプリケーション開発者と、システム管理者です。開発時、運用前には、時間的猶予のなさから、手作業での細かいレベルのセキュリティチェックが困難でした。また、担当者のノウハウに依存してテスト内容、結果がまちまちだったのですが、AppScanを利用することでテストにかかる時間が大幅に縮小し、内容も均一化したため、結果をレビューして、脆弱が確認された箇所を運用前に修正することができるようになります」
数字を挙げるとわかりやすい。実際、「AppScan不使用の場合、複数人で160時間掛かった作業が、AppScan使用の場合は32時間でテストが終わった」とのこと。ポータルサイト、ショッピングモール、金融系サイト等での導入が相次いでいる。さらにニーズは、セキュリティコンサルタントからも。
「問題点がアプリケーションごとの機能に依存している場合が多く、製品レベルのスキャナーでは検知が困難。手作業で診断するしか方法がありませんでした。これがAppScan導入により、従来では困難であったクロスサイトスクリプティングやCGIの問題による不正コマンド実行、システム停止、機密ファイルへのアクセス等詳細な調査が可能となったのです」
また、本来はファイアウォール等を中心に展開していたセキュリティベンダにおいても、今後は「Webアプリケーションセキュリティも含め、パッケージ化されていくのでは」と同氏は予測している。
>> 穴を探すAppScanと、穴を塞ぐAppShield
AppScanは巡回→分析→攻撃→レポートといった4つのステージを経て、脆弱性をはじき出す。過程それぞれを手動で行うことも可能だが、オートマチックの場合は簡単な入力作業を済ませれば、結果がでるまで作業は発生しない。
そして最終的に出された結果を見極め、対応を判断することは当然ながら人の手に委ねられる。
「最終的なレポートでは、攻撃結果ならびに管理職向けの監査結果のサマリー、セキュリティ担当者向けの技術的な詳細レポート、アプリケーション開発者やQA担当者向けのコード修正勧告などが出ます。弱いところと強いところが明らかになりますが、どこからどこまでを対応するのかは人の判断です。さらに一見脆弱性ではあるがサービスやサイトの性質上、そこの値は変動してもよい、といった場合もありますので、その点においても人の見極めが必要です」
脆弱性の「発見」と「評価」を担当するツールがAppScanであり、結果に対する判断、その後の対応スケジューリング等は当然ながら人の手を必要とする。これはAppScanに限らず、今後IT が進歩しても変らない要素であろう。
一方「防御」したいという意向に対しては、アプリケーションに対する悪意ある操作を監視、防止し、能動的に防御するツール「AppShield 」も同社は取り扱っている。不正操作を防いでログを残し、いつどこで不正攻撃があったかを管理者に通知。さらには不正侵入者に対し、問題のある操作が検知、記録された旨、警告を促すようになっている。
もはやWeb アプリケーション・セキュリティを無視して、「私共のサイトは安全」とどうして謳えようか。今後、オンラインネットワークはじめe−ビジネスが進歩するか停滞するかの分岐点に、今まさに差し掛かっているといえよう。
テクマトリックス: http://www.techmatrix.co.jp/
AppScan: http://www.techmatrix.co.jp/sanctum/
│監修/協力 N+I NETWORK Guide編集部
│企画/制作 Scan Security Wire編集部
《ScanNetSecurity》