2014年のセキュリティ動向 「セキュリティ格差社会」における企業のサイト構築と運営

2014年05月29日

「格差社会」という単語が使われるようになって久しいが、インターネットセキュリティの世界においても格差が広がり続けているという。その「セキュリティ格差社会」の現状と企業としてどのように対応すべきなのかを、KCCS プロダクトサービス事業本部 技術顧問 徳丸 浩氏とセキュリティ営業統括部 セキュリティ営業部 部長 大嶋 茂雄氏に伺った。

近年のセキュリティリスクと「セキュリティ格差社会」の現状とは

Q
最近はOpenSSLやApache Strutsの脆弱性などを狙った攻撃が話題です
A

(徳丸)OpenSSLのHeartbleed脆弱性ですが、大丈夫だろうと思われていたSSLに脆弱性があって証明書を取られてしまう可能性も出てきたということになったので大変です。とはいえ実装のバグなので淡々と対応するしかなく、大騒ぎするのもどうかと思っています。

Apache Strutsに関しては特にStruts1の脆弱性が問題です。Struts1はすでにサポートが終了していますが、Struts1とStruts2は互換性があるとは言えず、移行が難しいのです。Struts2の方にも深刻な脆弱性がかなりあり、実際の攻撃も多く行われています。

また最近では脆弱性発覚から攻撃が始まるまでの期間がだんだん短くなってきており、素早い対処が求められるようになったのが最近の傾向かと思います。

プロダクトサービス事業本部 技術顧問 徳丸 浩

Q
そのほかに現在気になる攻撃はありますか?
A

(大嶋)3月から4月くらいにかけて、パスワードリスト攻撃やFilesManのようなバックドアを打ち込まれた事例があり、昨年流行っていた攻撃がまだ継続しているというのが傾向としてあります。

お客様からはパスワードリスト攻撃にサイトを対応させたいが、ユーザビリティを損なわずに短期間で対策したいと相談されることが多いです。簡単に二要素認証がよいといっても、それだと利用者が離れてしまう可能性があります。

そこでWAFを使ってパスワードリスト攻撃を緩和するというニーズが結構あります。WAFでCAPTCHA認証を後からサイトに追加することができるので、パスワードリスト攻撃を受けたときにはCAPTCHA認証で緩和しようというやり方です。あとはWAFを使ってIPのレピュテーションを行い、海外のIPアドレスからのアクセスはブロックするという対応が多く出てきています。

セキュリティ営業統括部 セキュリティ営業部 部長 大嶋 茂雄

  • CAPTCHA認証: サイトのID・PW入力前後に人間が画面を見て考えないと判断ができない画像に書かれている文字を入力させる機能
Q
パスワードリスト攻撃以外には
A
(徳丸)パスワードリスト攻撃以外ではフィッシングも続いています。フィッシングだとフィッシングサイトをどこかに立てないといけないのですが、今は世界中で見張っていて、ブラウザ側も警告を出すようになりました。そこで今はマルウェアによる攻撃に変わってきています。オンラインバンキングに接続した時に、「乱数表の番号を入れてください」といった偽画面をマルウェアが出すようになっているのです。しかしマルウェアはサイトの方ではどうしようもありません。
Q
結局は利用者に対策してもらうしかないのでしょうか?
A

(徳丸)でも、サイト運営者の立場ではそうとも言っていられないですよね。また利用者にも格差の問題があって、大半はあまりよい運用はできてないというのが現状です。パスワードの使い回しもまだまだ多そうです。セキュリティの世界にいると、どうしても理想的な世界を追い求めてしまいますが、私は2008年くらいから「セキュリティ格差社会」という言葉を使い出したんです。すごく安全に使っていてもゼロデイが心配だねというような人もいれば、逆に気にせずソフトウエアを全然更新していないような人も多いということです。

パスワードリスト攻撃はセキュリティ格差が生んだ攻撃という見方もあります。セキュリティレベルの低いところからIDとパスワードを盗んで、セキュリティの強固なところにそれを使う。サイトのセキュリティは強固だけど、両者のIDとパスワードの問題なので被害に遭ってしまうというわけです。

でも利用者のリテラシーが急に向上するとは考えにくいので、こういうものだとある程度受け入れてやるしかないと思っています。サイトの運営者が頑張って対策するしかないというのが浮き彫りになったのはこの1年くらいではないでしょうか。
Webサイトの格差もそうで、ちゃんと対策しているという企業がある一方でSQLインジェクションが普通にあるサイトもたくさんあり、その辺の格差は課題ですよね。

(大嶋)セキュリティ格差社会の話でいうと、セキュリティレベルの高い企業は海外や子会社などセキュリティ対策をしっかりやりましょうと投資を増やしている傾向にあります。一方、セキュリティレベルの低い企業はあまり変化が見られません。逆に被害を受けたからどうしましょうと駆け込んできて、現状分析ではなく、サイトを停止させずに公開したいから何か使える防御製品はない?というような相談はかなり多かったですね。

セキュリティ格差解消のカギは「脆弱性診断」

Q
企業としてはどのような心構えでサイトを運営すればいいのでしょうか?
A

(徳丸)企業の場合は何かしらのビジネス的な目的があってWebサイトなどを公開していますから、安全なサイトにするという責務は生じます。個人情報がないからという言い訳をよく聞くのですが、サイトが改ざんされてそこを見た人がウイルスに感染するということは割とよくある話で、それは避けないといけません。

例えば、サイト運営者だけど開発はSIベンダなどの他社に依頼をしている、という構図で考えると、サイト運営者側には防衛策をもう少し講じて欲しいという思いがあります。それはちゃんと発注時に仕様を出しましょう、受け入れ時には診断をしましょう。そして、そこで出てきた問題を分析して、改善しましょうということです。

というのは、後から対策するというのはお金が余計にかかってしまうからです。最初からやれば1で済んでいたのが、後からやったら10かかってしまうことが普通にありますので、例えば、発注時にセキュリティの仕様をちゃんと出しておけば、それなりによいものができるはずですし、脆弱性が見つかってもそれは仕様に書いてあるから無料で直してもらうということがやりやすいわけです。

けれど実はこれがなかなか難しい問題なのです。現実問題として、発注時のセキュリティ仕様をきちんと書いてないと、それは仕様書に書いてません、ということになりかねないからです。だから事前に仕様についてはきちんとやっていただきたいですね。

それと少しお金はかかりますが、サイト公開前の脆弱性診断はやはり行ってほしいです。受け入れテストみたいな感じですね。実は2008年くらいからセキュリティの格差が出てきたというのは、企業によって改善しているかどうかの違いが出てきたからです。

SQLインジェクション攻撃が多発し始めたのは2005年で、その頃は脆弱性診断を行うと、格差なくSQLインジェクションなどが見つかりました。まんべんなく悪かったのです。ところがその頃から学習や改善を重ねた企業は、2008年くらいの段階でSQLインジェクションなんかない、という状況になりました。このような格差が広がってきたのが2008年です。3年の間に格差が広がったわけです。

でもセキュリティレベルの低い企業でも今からでも遅くない、諦めないで2005年から2008年に先進的な企業がやり始めたことを今からでもやりませんか、という提案ですね。最初は、またSQLインジェクションが出たよ、みたいなレベルでも良いので、そこから改善を続けることでだんだんセキュリティレベルの高いところにいけるのではないかと思います。

またセキュリティレベルの高い企業はもう対策不要か、というとそうではありません。新しい脅威はどんどん増えていますし、サイト自体も増えていますので、対策は淡々とやっていかなければいけません。今、セキュリティレベルの低いところにいるという企業は、ぜひ高いところを目指していただきたいです。

(大嶋)最初にも言ったのですが、昨年流行った攻撃が今年も継続して起きているのは実際のお客様を見ても明らかで、特定の攻撃に対して対策をしていても安全ではないと思っています。全体的なリスクを把握するのがまず重要です。そのためにはやはり脆弱性診断を行いませんか、ということだと思います。

対談の様子

サービスイメージ

インタビュアープロフィール

山本 洋介山(やまもと ようすけざん・@yousukezan)

@IT、ScanNetSecurityなどの媒体でセキュリティ関連の記事を執筆、twitterセキュリティネタまとめ(http://twitmatome.bogus.jp/)、ブログを日々更新する傍ら、WebサイトやWebアプリケーションなどの脆弱性検査も行う。

取材時期: 2014年5月

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。