[インタビュー] セキュリティ診断で検知される脆弱性の傾向に変化あり（NTTデータ先端技術）

山下「NTTデータ先端技術では、脆弱性を見つけることを仕事のゴールと考えていないところに理由があるかもしれません。」

特集特集

2016.10.24 Mon 9:15 PR

「上流工程で作り込まれた脆弱性が増えている」 NTTデータ先端技術株式会社セキュリティ事業部セキュリティ診断担当課長山下昌弘氏全 1 枚拡大写真

――では、診断によって見つかる脆弱性には、何か変化や新しい傾向はありますか。

最近の診断結果と過去の結果を、統計的に比較すると、各企業のセキュリティ対策は向上しています。たとえば、Web アプリケーションの有名な脆弱性に、XSS（クロスサイトスクリプティング）や SQL インジェクションなど各種インジェクションの問題がありますが、これらの対策はかなり進んでいると感じます。また、ネットワークでは、構築時のセキュリティ対策ガイドが企業内で作成されているケースも増えていて、構築時の対策は進んできています。

その半面、最近の傾向として、開発プロセスの上流工程で作り込まれた脆弱性の検出が増えています。Webアプリケーションで、管理者画面などがURL 直打ちで表示できるといった状態になっていたり、他のユーザーのデータが閲覧できたり、利用者どうしの制御が完全でなく、個人情報が閲覧可能になっていることもあります。

例えば、ある会社で印鑑の印影データを無造作に保存管理していることがありました。印影がデジタルデータで、手に入れれば印鑑の偽造や、なりすましなどに悪用できるかもしれません。重要情報のひとつとして適切なアクセス制御が必要である、と指摘したことがあります。

またネットワーク側で散見される運用の不備における脆弱性も、そもそもの運用設計が原因です。適切な運用ができていないため、アカウントの管理に抜けもれができたり、セキュリティパッチの当て方のルールがないために放置されていることに起因する脆弱性を多く指摘しています。

こういった上流工程で作り込まれる脆弱性は、リリース直前のテスト工程で見つかっても、改修期間がそもそも不足していたり、もし改修できてもそのコストが膨大となることが多く、どうしても対症療法的な対応をせざるを得ません。当社の診断実績では、セキュリティ診断で見つかる問題点の実に 6 割が上流工程で作り込まれたものです。

――上流工程で作られた脆弱性は、要は仕様ですから、ツールを走らせるだけでは当然見つからないし、手動診断でも見落とされることが多いと思います。何か見つけるための秘訣があるのでしょうか。