2007年06月19日

1.はじめに

官公庁やセキュリティ関連企業などによる啓蒙活動にも関わらず、Webサイトが不正アクセスによって被害を受ける事件は後を絶ちません。一方で、セキュリティ診断の実施や外部の人からの善意の指摘によって、Webサイトに問題が存在することを知り、不正アクセスによる事件が起こる前に対策を施せたケースも少なくありません。また、実際に不正アクセス事件が発生していても、外部に公開せずに処理しているケースや、不正アクセスを受けた事実に企業側が気付いていないケースもあるようです。

Webサイトへの不正アクセス事件の話題が収束しない背景には、依然としてWebサイトからセキュリティ上の問題がなくならないことが原因だと考えられます。セキュリティ対策に労力を費やしているWebサイトがある一方、十分なセキュリティ対策が行われないまま放置されているWebサイトも少なくありません。昨年頃からは「セキュリティ格差社会」という表現が一部で使われるようになってきましたが、Webサイトにおいてもセキュリティ対策状況の差は明確になってきています。

本レポートでは、NRIセキュアテクノロジーズ株式会社(以下NRIセキュア)が2006年度1年間に渡って実施したセキュリティ診断サービスの結果と過去の結果をもとに、企業におけるセキュリティ対策の現状を分析するとともに、Webサイトが抱えている問題と企業が取り組むべきセキュリティ対策について解説します。

2.調査概要

NRIセキュアでは、2006年度(2006年4月1日〜2007年3月31日)に146のWebサイトのセキュリティ診断サービス(Webアプリケーション診断)を受託しました。

診断対象となった146のWebサイトの運営主体(企業・官公庁)の属性は図1の通りです。Webサイトの開発・運用を外部にアウトソースしている場合は、アウトソース元の組織の属性を集計しています。また、1つの組織にある複数のWebサイトに対してセキュリティ診断を実施している場合は、Webサイトの数で属性を複数回集計しています。146のWebサイトの運営主体である企業・官公庁の数は58でした。

図1.セキュリティ診断を実施したWebサイトの属性別内訳

3. 診断結果からみるWebサイトのセキュリティの実態

3.1 42%のWebサイトに致命的な欠陥を発見、なかなか改善されない安全性

2006年度に実施したセキュリティ診断の結果を集計したところ、42%のWebサイトで、他の利用者の個人情報をはじめとする重要情報に不正にアクセスできることを確認しました（図2）。また、35%のWebサイトでは、重要情報に不正にアクセスできることは確認できなかったものの、情報漏えいに繋がる可能性がある問題が発見されました。これらの割合は、2005年度に比べると減少してはいますが、過去3年間を通じて大幅な変化は見受けられませんでした。

なお、本レポートにおける「重要情報」とは、そのWebサイトの特性を考慮したうえで、特定の正規の利用者のみにアクセスが制限されるべき情報を指します。例えば、パスワード、個人情報、金融サイトであれば口座残高、ショッピングサイトであれば注文履歴などが相当します。

図2.年度別 Webサイトのセキュリティ診断結果

2005年は、不正アクセス事件がメディアで多く取り上げられた年でした。これを契機として、それまでセキュリティを重視していなかったWebサイトへの診断の実施を検討し、NRIセキュアにセキュリティ診断を委託した企業もありました。このことが、2005年度に重要情報に不正にアクセスできたWebサイトの割合が多かった背景であると考えられます。また、2006年度のセキュリティ診断結果が2004年度と類似しているのは、このような一時的な需要が減少し、2004年度の水準に戻ったためと考えられます。

ここ数年、多くの不正アクセス事件や個人情報漏洩などのセキュリティ問題が報道され、企業におけるセキュリティ意識は高まってきているにも関わらず、セキュリティ診断で発見した危険な問題は減少していません。これは、Webサイトのセキュリティ対策が進む一方、不正アクセスの手法も日々進歩しているため、それらが均衡してこのような結果になったと考えられます。

セキュリティ診断によって問題が発見されたWebサイトについては、NRIセキュアから診断結果と共に具体的な対策案を提示し、早急に対策を実施するよう強く促しています。その結果、ほとんどのWebサイトで適切な対策が実施され、現在は安全な状態になっていると推測されます。

3.2 有名な問題に対して無防備なWebサイトは減少したが、未だ多くの対策漏れが存在

重要情報に不正にアクセスできたケースでは、過去の結果と同様に、「関連チェック不足によるなりすまし（以下、なりすまし）」、「権限昇格による管理機能へのアクセス（以下、権限昇格）」、「SQLインジェクションによるデータベースの不正操作（以下、SQLインジェクション）」の3つの問題が比較的多く発見されています。しかし、これら3つの問題は、2005年度の結果と比較するといずれも減少し(図3)、1つのWebサイトで複数の致命的な問題が発見されることも減りました。

一方、「クロスサイトスクリプティング」の問題は、毎年50%を超える割合で発見されています。最近は、この問題について「まったく対策されていない」Webサイトは少なくなりましたが、一部の画面に対策漏れがあったり、Webブラウザによる通常のアクセスでは送信することのできない特殊なリクエストを送信することで問題が発見されたりするケースは、依然として多くあります。Webサイトを維持運営していく過程で、画面の追加や更新が頻繁に行われると、対策漏れが発生してしまう場合もあるようです。

SQLインジェクションなどの問題が発見される割合は減少しているにも関わらず、クロスサイトスクリプティングの問題が発見される割合には大きな変化が見受けられません。その理由としては、SQLインジェクションに比べて危険性が低いと認識されている、単純な処理しか行わないような画面であっても問題が発生し得るなどが挙げられます。

図3.主要な問題別の発見割合

1. 関連チェック不足によるなりすまし
   ログインに成功した利用者が、別の利用者に「なりすまし」、個人情報や重要情報にアクセスできる問題です。例えば、ショッピングサイトにおいて、システムが取引を特定するために扱っている「購買ID」などの変数が改ざんされ、他の利用者になりすまして重要な情報に不正にアクセスされてしまうといった問題です。
2. 権限昇格による管理機能へのアクセス
   特権をもたない利用者が、ログインの状態に関わらず、管理機能などの特権操作を行うことができる問題です。管理機能には、登録されている利用者の個人情報を一覧で表示する、システムの設定を変更するといった機能がある場合が多く、不正アクセスを受けると大きな被害に繋がる危険性が高い問題です。
3. SQLインジェクションによるデータベースの不正操作
   「SQLインジェクション攻撃」と呼ばれる手法により、データベースに蓄積されている情報を不正に取得されたり、サーバ上で任意のコマンドを実行されたりする問題です。2005年頃から、国内で被害が急増しています。
4. クロスサイトスクリプティング
   「クロスサイトスクリプティング攻撃」と呼ばれる手法により、利用者のWebブラウザ上に偽のページを表示されたり、Cookieなどの認証情報を不正に取得されたりする問題です。国内では2001年頃に話題となった古くからある問題の1つですが、最近ではJavaScriptを多用する「Web 2.0」的なWebサイトの増加もあって、再び話題となっています。
   ただし、この問題を実際に悪用するには、利用者を欺いて不正なURLにアクセスさせるなど、いくつかの前提条件が必要です。このため、本レポートでは、この問題が発見されただけでは「重要情報に不正にアクセスできた」と分類せずに、「情報漏洩に繋がる可能性がある」ものとして扱っています。

3.3 業務システムに多くの問題が存在、関係者による不正への対策が不十分

セキュリティ診断を実施したWebサイトを、提供形態別に、「会員制サイト」、「お問い合わせサイト」、「業務システム」に分類したところ、セキュリティ診断結果に大きな差が見られました(図4)。

業務システムでは、他のWebサイトに比べて圧倒的に多くの割合で問題が発見されています。業務システムは一般消費者の目に触れず、特定の関係者からしかアクセスされないため、不特定の利用者から不正アクセスを受ける機会が少ないと考えられがちです。このため、十分にセキュリティ対策が行われないことが多いと推測されます。また、企業内ネットワークで利用していたシステムを、業務拡大に伴ってインターネットに公開した際に、リスクやセキュリティ要件の見直しが十分に行われないまま移行されたケースも存在しました。

こうした業務システムでは、接続元のネットワーク(IPアドレス)の制限や、デジタル証明書による認証などを行っているケースも少なくありません。しかし、これらのセキュリティ対策は、不特定多数のインターネット利用者がシステムにアクセスするのを防ぐ効果はあるのですが、システムを利用できる関係者による不正アクセスについては防ぐことができないケースがほとんどです。このため、取引先や納入業者などの関係者による不正アクセスに対しては、十分な対策が行われていない傾向があると考えられます。

また、お問い合わせサイトは、規模が小さく、複雑な処理を必要としないため、システムに問題が作り込まれにくいといえます。とはいえ、アンケートや人材募集などのサイトは、利用期間が限定されたり、頻繁に更新されたりするため、安全性のチェックがおろそかになりがちですので、注意が必要です。

図4.提供形態別 Webサイトのセキュリティ診断結果

1. 会員制サイト
   一般消費者からアクセスされることを前提としたWebサイトで、パスワードなどを利用した利用者認証があるものです。インターネットバンキング(銀行)や、会員登録が必要なショッピングサイトなどが相当します。規模が大きいサイトが比較的多いのが特徴です。
2. お問い合わせサイト
   一般消費者からアクセスされることを前提としたWebサイトで、利用者認証がないものです。アンケートやお問い合わせなどが相当します。簡単な作りで、規模が小さいサイトが比較的多いのが特徴です。
3. 業務システム
   一般消費者ではなく、取引業者などの関係者からアクセスされることを前提としたWebサイトです。パスワードなどを利用した利用者認証がある場合がほとんどです。取引先向けシステムや受発注管理システムなどが相当します。

3.4 公開前の金融サイトでも多くの問題を発見、セキュリティ診断によって事前に対処

セキュリティ診断対象のWebサイトを、運営主体の業種別にサンプル数の多い上位3業種(金融、情報通信、サービス)とそれ以外に分類したところ(図5)、高いセキュリティレベルが要求される金融機関のWebサイトにおいても、セキュリティ診断を実施すると多くの問題が発見されていることが分かりました。

オンラインバンキングをはじめとする金融サイトは、金融自由化に伴って取り扱う金融商品の種類が増えていることや、提携や合併・買収によってシステム連携・統合が頻繁に行われることが多いことから、大規模かつ処理が複雑であることが多く、セキュリティ対策の徹底が難しいものと考えられます。

図5.業種別 Webサイトのセキュリティ診断結果

図6.業種別 Webサイトのセキュリティ診断実施時期

NRIセキュアが2006年度にセキュリティ診断を実施したWebサイトを、セキュリティ診断実施時期別に見ると(図6)、運営主体が金融機関と情報通信関連企業である場合、公開前のWebサイトに対するセキュリティ診断が多いことが分かります。

金融機関ではWebサイトに対してセキュリティ診断を行うことが社内ルールとなっている場合が多いようです。これには、財団法人金融情報システムセンター(FISC)が公表している「金融機関等コンピュータシステムの安全対策基準・解説書」に、セキュリティ診断を実施することが効果的であると記述されていることが背景にあると考えられます。セキュリティ診断によって発見された問題は、インターネットに公開する前に適切に修正され、安全な状態になっているケースが多いと考えられます。

また、情報通信関連企業では、一般的に自社のWebサイトを自社で開発することが多く、自社のWebサイトにセキュリティ上の問題が発見されると信頼を失うおそれから、セキュリティ対策に力を入れていることが理由の1つだと考えられます。

金融機関や情報通信関連企業のように、Webサイトを公開する前にセキュリティ診断を実施するためには、セキュリティ診断の実施と発見された問題への対策費用を、システム開発の企画段階から開発要件に含める必要があります。企画段階からセキュリティ対策を考慮した開発を行うことで、Webサイトが公開された時点での安全性が格段に高まるだけでなく、公開してから問題への対策を行う場合に比べて費用も安くなるという調査結果も出ています。(※1)

1. 公開前のWebサイトに診断を実施
   開発中のWebサイトに対して、インターネットに公開する前にセキュリティ診断を実施したケースです。セキュリティ診断で致命的な問題が発見されたとしても、インターネットに公開する前に問題を修正することができます。このため、公開前にセキュリティ診断を実施することが理想的です。
2. 公開済みのWebサイトに診断を実施 (2回目以降)
   既にインターネットに公開されており、過去にセキュリティ診断を実施したことのあるWebサイトに対して、再度セキュリティ診断を実施したケースです。新たに追加や変更された機能・画面に対してのみセキュリティ診断を実施したケースも含みます。
3. 公開済みのWebサイトに診断を実施 (初回)
   既にインターネットに公開されているWebサイトに対して、初めてセキュリティ診断を実施したケースです。このケースで致命的な問題が発見された場合、既に不正アクセスを受けている可能性があります。この場合、問題の修正だけでなく、アクセス履歴の調査なども必要となる場合があります。

4.セキュリティ「対策漏れ」を防ぐシステム開発のありかた

4.1 セキュリティの「対策漏れ」を防ぐための新たなアプローチ

セキュリティ意識の高い企業の増加に伴って、SQLインジェクションやクロスサイトスクリプティングといった有名な問題については、「まったく対策されていない」Webサイトは減っています。しかし、依然として多くのサイトにこのような問題が発見されているのは、一部の画面に「対策漏れ」が存在するケースが多いからです。

こうした実情を反映して、セキュリティ対策が進んでいる一部の企業では、安全なシステムを開発するためにソースコード自体の検査も行うようになってきています。ソースコードをくまなく検査することによって、「対策漏れ」を防ぐというアプローチです。

セキュリティ診断は、開発がある程度進んでWebサイトの機能が一通り動作する状態でないと実施できません。しかし、ソースコードの検査は開発の途中でも実施できるため、早い段階で問題を発見できるという長所があります。なるべく早い段階で問題を発見し、修正することによって、開発の手戻りを減らすことができるため、開発コストの低減にも繋がります。

ソースコードの検査を行うツールも市販されはじめており、SQLインジェクションやクロスサイトスクリプティングといった単純な問題は高い確率で発見することができます。しかし、現状のツールでは関連チェック不足によるなりすましや、権限昇格による管理機能へのアクセスといった問題の発見については十分とはいえません。システム開発途中にソースコード検査を実施し、インターネットに公開する前にセキュリティ診断を実施するなど、開発プロセスに効率良くセキュリティ対策を取りこんでいくことが望ましいと考えられます。

4.2 システム開発の上流工程におけるセキュリティ対策の考え方

Webサイトのセキュリティ診断を実施し、発見された問題に対処するだけでは、十分であるとはいえません。今後のメンテナンスや新規システム開発においても、同様の問題が発生しないよう、継続的にセキュリティ対策に取り組む枠組みを組織内で確立することが重要となります。

セキュリティ対策が進んでいる企業の中には、セキュリティリスクを減らすために、マネジメントサイクルであるPDCA(Plan、Do、Check、Act)サイクルにセキュリティ要件を取り入れ、リスクコントロールを実施している企業があります。

開発プロセスにおいて開発者が守るべきセキュリティ対策をまとめたガイドラインを作成し、システムがガイドラインに準拠して開発されているかをチェックするといった仕組みが重要となります。セキュリティ診断は、PDCAサイクルにおけるCheckプロセスであり、その結果を受けて次のプロセスにつなげていくことが望ましい開発の姿勢です。

システム開発を他社に委託している場合、セキュリティリスクは最終的に発注元が負わなくてはなりません。セキュリティ対策を委託先企業の知識、技術、管理能力に委ねるだけではなく、発注元の企業自身が積極的にコントロールしていく必要があります。最近では、ガイドラインやチェックシートを作成し、開発委託先にそれを遵守するよう求めることでコントロールを行なう企業が増えてきているようです。

図7.Webサイトのセキュリティ対策におけるマネジメントサイクル

5.アンケート結果から見るセキュリティ意識の実態

NRIセキュアでは、従業員300人以上の企業と、東証1部・2部上場の従業員300人未満の企業を中心とする約3,000社を対象に、2002年より毎年アンケート調査(※2)を行っています。

2006年5月に実施したアンケート結果(図8)によると、Webサイトのアプリケーション(Webアプリケーション)におけるセキュリティ診断を実施している企業の割合は、およそ2割程度に留まっています。一方、これまで述べた通り、金融機関のようにセキュリティ意識の高い企業のWebサイトであっても、専門家がセキュリティ診断を実施すると高い割合で問題が発見されています。これらのことから、インターネットに公開されているWebサイトには、未だに問題を抱えたまま運営されているWebサイトが多く存在すると考えられます。

セキュリティ診断だけではなく、さらにソースコードの検査まで実施している企業がある一方、およそ8割の企業ではセキュリティ診断も行われていません。

図8.セキュリティ診断の実施割合
(出所： NRIセキュアテクノロジーズ 「企業における情報セキュリティ実態調査2006」)

6.おわりに

依然として多くのWebサイトにおいてセキュリティ上の問題が放置されたまま運営されていると考えられる一方で、一部の企業ではセキュリティ診断を実施するだけでなく、開発プロセス自体を見直すなどの努力が行われています。不正アクセスによる犯罪手口が日々高度化し、サイバー犯罪が巧妙になっている現代社会において、このような状況が続くようであれば、Webサイトの安全性の差(セキュリティ格差)は今後ますます広がっていくと考えられます。

企業におけるWebサイトの位置づけは、初期の情報発信を中心とする役割から、ビジネスの根幹をなすような役割に変化してきており、今後もその傾向は変わらないでしょう。このため、ビジネスの継続をおびやかす不正アクセスへのセキュリティ対策は、企業にとって重要な課題であるといえます。

一方、利用者はWebサイトの安全性を知ることができないため、安全性の高いWebサイトだけを選択して利用することができません。このため、安全性の低いWebサイトを利用してしまったことが原因で、情報漏えいの被害を受けてしまう危険が、Webサイトを利用する際につきまといます。Webサイトの安全性を底上げし、「セキュリティ格差」を緩和していくことが、今後の安全・安心なネット社会の実現に求められます。

【参考文献】

• ※1 情報セキュリティレポート vol.2 情報セキュリティにおける投資対効果
  http://www.nri-secure.co.jp/security/report/0212_report.html
• ※2 企業における情報セキュリティ実態調査2006
  http://www.nri-secure.co.jp/news/2006/0726_report.html