週刊BCNは2月25日、「SIer、リセラーのための『これからのWebセキュリティ提案』」と題し、東京・日本橋のベルサール東京日本橋でセミナーを開催した。協賛は、デジタル・インフォメーション・テクノロジーとHASAコンサルティングの2社。セミナーでは、ウェブセキュリティの強化推進には1社のセキュリティベンダーだけでは難しいとして、業界全体で取り組む必要があることを強調。協賛2社のソリューションの役割などを紹介し、不足部分については参加者とともに取り組みたいとして、ウェブセキュリティの強化推進策についてアピールした。(取材・文/畔上文昭)
ウェブサイトのセキュリティに対する関心の高さから、セミナーには多くのSIerやリセラーが参加ぜい弱性対策は開発者で提案
HASHコンサルティング
徳丸 浩
代表取締役 最初の講演となるセッション1では、「ウェブサイトをめぐる状況と対策のポイント」と題し、ウェブセキュリティの第一人者であるセキュリティHASHコンサルティングの徳丸浩代表取締役が登壇。冒頭にウェブサイトにおける侵入事件のトレンドを紹介した。「最初の大きな波は、2000年の各省庁を狙ったウェブサイトの改ざん事件。『ファイアウォール(FW)が導入されていなかった』との報道があったことから、FWの導入が進むきっかけとなった」。次に登場する「SQLインジェクション攻撃」はFWをかいくぐるため、新たな対策が必要となった。こうしたトレンドを紹介しながら、攻撃は常に変化してきていることを説明した。
講演では、SQLインジェクション攻撃やコンテンツ管理システム(CMS)のぜい弱性を突くなどのデモンストレーションを実施。サイト上のぜい弱性を突けば、SQL文が簡単に実行できてしまうことを紹介した。
ウェブサイトの侵入方法は、「ぜい弱性を突く」と「IDDとパスワードを不正利用する」の二つしかない。そのため、「両方の対策をきちんとしていれば問題ない」と徳丸代表取締役は語るが、続けて「しかし、それが難しい」とも。とくに自社開発のシステムのぜい弱性を第三者がみつけることはないとして、ぜい弱性診断の必要性を訴えた。
講演では、ぜい弱性の責任についても言及。ぜい弱性の責任は、発注者と受注者(開発者)のどちらにあるのか。徳丸代表取締役の見解では、セキュリティ対策の指示を発注者が出していない場合は、発注者に責任があるとしている。ただ、専門家としての責務を重視し、受注者の責任を認める判例があるという。そのため、「発注者がぜい弱性対策を要求しなくても、受注者は提案するべき」と徳丸代表取締役は提案した。
セキュアな開発プロセス
セッション2では、「HASHコンサルティングのセキュリティサービスのご紹介」と題し、徳丸代表取締役が再度登壇し、同社で提供しているぜい弱性診断とWeb Application Firewall(WAF)製品「SITEGURD」を紹介した。
ぜい弱性診断サービスは、サイト全体を網羅的に診断する「スタンダード診断(ブラックボックス)」、重要か所を抜き取って検査する「ウェブ健康診断(ブラックボックス)」、ソースコードで診断する「ソースコード診断(ホワイトボックス)」、そして「グレーボックス診断」の四つ。ブラックボックスとは外側からの診断で、ホワイトボックスではソースコードをベースに診断を行う。グレーボックスでは、その両方を行う。診断時には報告書を作成するが、「必要な情報が漏れなく載っているが、簡潔でわかりやすいということにこだわっている」という。
また、ぜい弱性対策を実現するために、システム開発の前の決めごとを定めるセキュア開発規約「セキュリティガイドライン」の策定サービスについても紹介。セキュリティガイドラインを導入することで、開発によるバラつきがなくなるなどの効果を説明した。
徳丸代表取締役は、「セキュリティの課題は企業ごとに違う。さまざまな問い合わせをいただくが、セキュリティ対策のプロとして、しっかり応えていきたい」と語り、講演を締めくくった。
改ざんされても瞬時に復元
セッション3では、「今注目の改ざん検知製品、その導入効果と活用事例、製品提案のポイント」と題し、デジタル・インフォメーション・テクノロジーの橋本円・商品開発部企画営業グループ部長が登壇。改ざん検知の有効性と、同社が提供する改ざん検知復旧製品「WebARGUS(ウェブアルゴス)」を紹介した。
橋本部長は、ウェブサイトの改ざんに気づかないことのリスクとして、「閲覧者のPCへマルウェアを配布」「DDoS攻撃やスパムメールの配信に加担」「個人情報の漏えい」「第三者がSNSなどで改ざん状況を広める」などを取り上げ、重要なのは早く気づくことだとした。
デジタル・
インフォメーション・
テクノロジー
橋本 円
商品開発部
企画営業グループ 部長 そこでWebARGUSである。ウェブサイトの改ざんを検知すると、0.1秒未満で元の状態に復元する。改ざんされても正常な状態を保つことができるのである。ログも残すため、改ざん時にデータベースにアクセスしていたユーザーの対処も可能になっている。講演では、WebARGUSのデモンストレーションによって、0.1秒未満で復元するところを実践してみせた。
ただし、WebARGUSで改ざんを検知して対処したとしても、そのサイトにはぜい弱性が残されていることになる。「正常な状態は保たれているが、ぜい弱性の修復や防御強化は必ずしなければいけない」と、橋本部長は強調した。
最後に橋本部長は「WebARGUSだけでセキュリティ対策が完璧になるわけではない。ウェブサイトやインフラ、セキュリティ製品が連携しなければ、理想的なセキュリティ対策は実現できない。パートナー企業とともに、運用を含めたトータルなサービスを提供していきたい」とセミナーの参加者にアピールした。
最後に主催者セッションとして週刊BCN編集長の畔上文昭が講演。システム開発の最新動向などを紹介した。セキュリティ対策のニーズは年々強まっていることもあり、セミナーでも多くの参加者が最後まで熱心に聞き入っていた。
