2008年07月28日

1.はじめに

企業において、Webサイトが果たすビジネスの拡大や収益向上の役割・比重はますます大きくなっています。利用者のニーズの増加や利用シーンの拡大に合わせ、Webサイトの機能や利便性は飛躍的に向上しています。インターネット上での金銭のやりとりが一般的になっている現在では、Webサイトへの不正アクセス事件による被害額や影響範囲が以前よりも拡大してきているといえます。

2007年11月頃より、数多くのWebサイトが不正アクセスを受け、改ざんされたことが大きく報道されました。一度不正アクセス事件が発生すると、企業はその事後対応に追われ、Webサイトの復旧費用や取引先への謝罪、賠償など、多くの損失を受け入れなければなりません。今や、インターネットビジネスを展開するうえで、「Webサイトの安全性を高めていく」ことが、厳しい競争に打ち勝つための重要な施策の一つとなっています。

本レポートでは、NRIセキュアテクノロジーズ株式会社(以下NRIセキュア)が2007年度1年間に実施したセキュリティ診断サービスの結果、および過去における同様の結果をもとに、Webサイトのセキュリティ対策の傾向を分析するとともに、Webサイトが抱えている問題と企業が取り組むべきセキュリティ対策について解説します。

2.調査概要

NRIセキュアでは、2007年度(2007年4月1日〜2008年3月31日)に169のWebサイトに対してセキュリティ診断サービス(Webアプリケーション診断)を実施しました。

診断対象となった169のWebサイトの運営主体(企業)は全部で48社であり、その属性は図1の通りです。Webサイトの開発・運用を外部にアウトソースしている場合は、アウトソース元の組織の属性を集計しています。また、1つの組織にある複数のWebサイトに対してセキュリティ診断を実施している場合は、Web サイトの数で属性を複数回集計しています。

3.セキュリティ診断結果からみるWebサイトのセキュリティの実態

3.1 41%のWebサイトに致命的な欠陥を発見

2007年度に実施したセキュリティ診断の結果を集計すると、41%のWebサイトで、他の利用者の個人情報をはじめとする重要情報に不正にアクセスできることが確認できました。また、30%のWebサイトでは、重要情報に不正にアクセスできることは確認できなかったものの、情報漏洩につながる可能性がある問題を確認できました。図2に診断結果の経年変化を示します。致命的な欠陥が発見される割合に劇的な変化はない一方で、安全なWebサイトの比率も着実に増加している傾向が見受けられます。

• ※本レポートにおける「重要情報」とは、そのWebサイトの特性を考慮したうえで、特定の正規の利用者のみにアクセスが制限されるべき情報を指します。例えば、パスワード、個人情報、金融サイトであれば口座残高、ショッピングサイトであれば注文履歴などが相当します。

安全なWebサイトの微増は、Webサイトのセキュリティ対策が定着してきた企業の増加を示していると考えられます。セキュリティ診断を繰り返し実施していれば、セキュリティ診断で問題点を検出、修正するよりも、開発プロセスのより早い段階で様々なセキュリティ対策を採った方が、総合的な修正コストは抑えられる事がわかります。そうした企業では、セキュリティ診断はWebサイトを構築していくプロセスの中で採用したセキュリティ施策が、有効に機能していたかを測る最終チェックとして利用しています。

ただし、努力をしてはいても、問題点を潰しきれないケースもまた多く存在します。過去4年間を通じて、重要情報に不正にアクセスできる問題を抱えたWebサイトの割合が減少しない理由は、「対策漏れ」の根絶が難しいことが原因であると考えられます。それは、スピードが求められる開発、複数システムの連携・統合、複数の関係者による開発、新技術の採用といった昨今ますます複雑化するシステム開発の状況にも起因します。Webサイトのセキュリティ対応を漏れなく徹底・確認するには、組織的に対応しなければ困難です。本レポートの後半で、セキュリティ対策を行っている意識の高い企業の取り組みを紹介します。

なお、セキュリティ診断によって問題が発見されたWebサイトについては、NRIセキュアから診断結果と共に具体的な対策案を提示し、早急に対策を実施するよう強く促しています。その結果、ほとんどのWebサイトで適切な対策が実施され、現在は安全な状態になっていると推測されます。

3.2 主要な問題の大半が「対策漏れ」

重要情報に不正にアクセスできたケースでは、過去の結果と同様に、「関連チェック不足によるなりすまし（以下、なりすまし）」、「権限昇格による管理者機能へのアクセス（以下、権限昇格）」、「SQLインジェクションによるデータベースの不正操作（以下、SQLインジェクション）」の3つの問題が比較的多く発見されています。

この中で、「なりすまし」については、2004年から年々発見頻度が減少しています。これは、「なりすまし」の問題がその他と比べ、問題発生箇所がある程度限定でき、一旦問題を認識さえすれば、以降の改修や新規開発において対策を漏らしにくいという特徴があるためだと考えられます。

「SQLインジェクション」については、発見割合に大きな変化は見られませんでした。昨年と同様、まったく対策されていないケースは少なく、特定の一部の画面にのみ「対策漏れ」により問題が検出されるケースが多く見受けられました。また、「クロスサイトスクリプティング」の発見割合は過去3年間と比べ僅かに高くなっています。こちらの問題も「SQLインジェクション」と同様に、一部に「対策漏れ」という形で発見されるケースがほとんどです。

一旦リリースした後に、追加で実装した小規模の画面にのみ問題が見つかるといったケースもあり、長期間にわたるアプリケーションの開発・保守フェーズにおいて、いかにして対策漏れを防ぐかが、これらの問題に取り組むための重要なテーマであるといえるでしょう。

1. 関連チェック不足によるなりすまし

   ログインに成功したユーザが、何らかの方法により、別のユーザの重要情報にアクセスできる問題です。例えば、ショッピングサイトにおいて、購買履歴を表示する機能があり、購買履歴の詳細な情報を表示する画面に遷移する際、内部的に利用されている「購買ID」をWebブラウザからWebサイトに送信しているケースを想定します。内部的に利用されている「購買ID」などを改ざんすることにより、他人になりすまして重要情報(購買履歴など)に不正にアクセスできるといったケースがよく見受けられます。

2. 権限昇格による管理者機能へのアクセス

   一般ユーザとしてログインした状態、あるいはログインの状態に関わらず、不正な操作をすることによって管理者機能などの特権操作を行うことができる問題です。管理者機能には、登録されているユーザの個人情報を一覧で表示するといった機密情報へアクセスできる機能が含まれている場合が多く、不正アクセスを受けると大きな被害に繋がる危険性が高いといえます。

3. SQLインジェクションによるデータベースの不正操作

   Webアプリケーションに想定しないSQL文を実行させることにより、データベースに蓄積されている情報を不正に取得したり、サーバ上で任意のコマンドを実行したりできる危険性の高い問題です。この問題を利用した攻撃は、2005年頃から国内でも数多く被害が発生しており、2007年11月以降、世界的に大規模な被害が発生したと報道されています。

4. クロスサイトスクリプティングによる不正なスクリプトの実行

   クロスサイトスクリプティング攻撃と呼ばれる手法により、利用者のWebブラウザ上で不正なスクリプトを実行することによって、偽のページを表示したり、Cookieを不正に取得したりできる問題です。
   ただし、この問題を実際に悪用するには、利用者を欺いて不正なURLにアクセスさせるなど、いくつかの前提条件が必要です。このため本レポートでは、この問題が発見されただけでは「重要情報に不正にアクセスできた」とはせずに、「情報漏洩に繋がる可能性がある」という扱いにしています。

3.3 初めてセキュリティ診断を実施した企業のWebサイトの傾向

2007年度に初めてNRIセキュアのセキュリティ診断を受診した企業（以下、初診企業）のWebサイトについて分析を行いました。その結果、初診企業のWebサイトの54%に重要情報に不正にアクセスできたことになります。NRIセキュアでセキュリティ診断を実施した経験のある企業（35%）と比較すると、明確な差が出ていることがわかります。

• ※本レポートでの初診企業とは、「NRIセキュア」で初めてセキュリティ診断を実施した企業という意で、セキュリティ診断自体は過去に受診している可能性があります。

昨今、インターネットにおけるWebサイトをとりまく脅威や対策方法等の情報は広く公開されており、企業が独力で情報を収集し、安全なWebサイトを構築するための個々の情報は比較的容易に得られるようになってきました。しかしながら、構築したWebサイトが最新の攻撃手法にも耐えうる堅牢性を確保できているかを確認するのは容易ではありません。

このようなことから、企業が独力でWebサイトのセキュリティ対策を進めるには限界があり、知らず知らずのうちに、何らかのセキュリティ上の問題点を作りこんでしまう、もしくは、見逃してしまう可能性が高いと考えられます。

主要な問題の発見割合を見ると、「クロスサイトスクリプティング」「SQLインジェクション」「なりすまし」が、初めてセキュリティ診断を実施したことのある企業のWebサイトの多くに問題が存在することがわかります。特に、「SQLインジェクション」の問題については、経験のある企業と比較して、初診企業のWebサイトには2倍以上の高い割合(39%)で発見されています。

初診企業の「SQLインジェクション」の発見状況を見ると、全く対策が検討されていないWebサイトは少数でした。むしろ、ある程度の対策が行われていながらも、利用者が直接入力するパラメータにしか対策を行わない、データベースへの参照問い合わせでしか対策を行わないといった部分的な対策に終始しているケースが散見されました。「SQLインジェクション」の攻撃事例や対策方法は認知しているものの、必要十分な対策はどこまでやればよいのかの判断が困難であるため、このような状況となっていると考えられます。

3.4 業務システムは権限管理に穴が生まれやすい

セキュリティ診断を実施したWebサイトを提供形体別に、「会員制サイト」、「お問い合わせサイト」、「業務システム」の3つに分類し、主要な問題点の発見割合を比較してみました。

提供形態別に主要な問題の発見割合を分析してみると、「権限昇格」についてのみ、業務システムにおける発見割合が著しく高くなっています。この理由としては、まず、業務システムでは利用者の職権に合わせて、アクセス可能な機能を限定するため、権限管理を実装しなければならないケースが多く存在するためです。「クロスサイトスクリプティング」や「SQLインジェクション」については、その他のシステムとも共通的な問題であるため、攻撃手法や対策内容の把握ができ、発見割合にそれ程差異は見受けられないものと考えられます。しかし、権限管理については業務システムで固有に実装しなければならない場合が多く、問題を悪用される想定が十分に理解されずに、表面的な対策（ログインユーザの権限に合わせて表示メニューを増減させる等）しか採られないためと考えることができます。

権限管理の問題を悪用されると、不正な利用者アカウントを作成されて不正行為を行うために利用されるというように、二次的な犯行にもつながる事が予想されるため、注意が必要です。

また、お問い合わせサイトは、規模が小さいとはいえ、利用者の個人情報を蓄積するケースも多いと考えられるため、大規模なWebサイトと同様のセキュリティレベルが求められます。

• ※「なりすまし」や「権限昇格」の発見割合が0%となっているのは、ユーザ認証機能や権限管理機能を備えていないためです。

1. 会員制サイト

   一般消費者からアクセスされることを前提としたWebサイトで、パスワードなどを利用した利用者認証があるものです。インターネットバンキング(銀行)や、ショッピングサイトなどが相当します。規模が大きいサイトが比較的多いのが特徴です。

2. お問い合わせサイト

   一般消費者からアクセスされることを前提としたWebサイトで、利用者認証がないものです。アンケートやお問い合わせなどが相当します。簡単な作りで、規模が小さいサイトが比較的多いのが特徴です。

3. 業務システム

   一般消費者ではなく、取引業者などの関係者からアクセスされることを前提としたWebサイトです。パスワードなどを利用した利用者認証がある場合がほとんどです。コールセンター向けシステムや受発注管理システムなどが相当します。

3.5 携帯向けWebサイトの傾向

セキュリティ診断対象のWebサイトを、携帯向けWebサイト（以下、携帯サイト）とPC向けWebサイト（以下、PCサイト）の2つに分類し、そのうち、携帯サイトで発見された主要な問題の傾向について分析を行いました。対象となったWebサイトは、携帯向けのオンラインショッピングやオンライントレーディング、オンラインバンキング、金融商品の契約サイト等となります。

携帯サイトにおいては、PCサイトに比べてほとんどの問題の発見割合が低くなっています。携帯サイトでは、携帯電話の視認性・操作性を考慮して、小さな画面で簡単に操作できることが求められるため、PCサイトのように1つの画面に複数の機能を組み込まず、必要最小限の機能のみを実装していることが理由であると考えます。

しかし一方で、「推測可能なセッションID」という問題についてはPCサイトと携帯サイトでの発見割合が逆転しています。携帯サイトでは25%の割合で見つかっており、PCサイトの発見割合（10%）を大幅に上回っています。

●携帯サイトで注意すべき問題、「推測可能なセッションID」

ログイン成功後にWebサイトから発行されるセッションID（利用者を識別するための情報）を元に、他の利用者のセッションIDを推測し、「なりすまし」してアクセスを行うことができる問題です。発行されるセッションIDに規則性が存在したり、ランダムな要素が少ないと、「なりすまし」が行われ、Webサイトに不正にアクセスされる可能性があります。

「推測可能なセッションID」が多くの携帯サイトで発見される理由としては、URLで利用できる文字列長の制限が挙げられます。携帯サイトの多くではセッションIDをURLに含めて送信する方式を採用しています。しかし、URLで利用できるデータ量に制約があり、セッションIDに十分な長さを有するランダムな桁数を含めることができなくなっているためです。また、セッションIDの生成ロジックに、安全性が検証されているアルゴリズムを採用せず、独自に問題のある生成方式を実装したため、推測可能なセッションIDを発行してしまうケースも多々見受けられます。

更に、コンテンツ変換サーバを利用している場合においても注意する必要があります。コンテンツ変換サーバとは、Webコンテンツを各携帯キャリア専用フォーマット（cHTMLやHDML等）に自動的に変換する機器です。コンテンツ変換サーバの中には、コンテンツ内容を変換するだけでなく、独自にセッションIDを発行し、セッション管理を代替する機能を保有している製品もあります。利用している製品に不具合があり、推測可能なセッションIDを発行してしまっているケースも複数存在しました。

●携帯サイトを取り巻く環境

多くの携帯サイトは、携帯キャリア（NTT docomo、au、SoftBank等）からのみのアクセスに制限することにより、「携帯電話からしかアクセスできない」ように実装しています。PCとは異なり、携帯電話上では様々な攻撃ツールを利用することができないため、攻撃を受ける機会を減らす効果がありました。しかし、現在ではスマートフォンを利用することで、携帯電話に「なりすまし」してアクセスする方法が紹介されていたり、携帯電話の高機能化によって、上記のような制限が意味をなさなくなることも考えられます。

Webサイトにおける携帯サイトの比重は、利用局面からも増大しており、携帯サイトにおけるセキュリティ対策も同時に、重要度を増してきているといえるでしょう。

4.セキュリティ対策が進んでいる企業は次の課題の解決へ

2007年度のセキュリティ診断結果では、「対策漏れ」によって問題が顕在化しているWebサイトが多く見られました。逆に言えば、全く何も対策をしていない、つまり、Webサイトを取り巻く脅威や現実に発生している攻撃、対策の必要性を認識していない企業は減少してきています。Webサイトのセキュリティ対策に先進的に取り組んでいる企業でも、これから対策を本格化させる企業でも、共通の課題となる「対策漏れ」に、先進的な企業がどのように取り組んでいるか、状況をいくつか紹介します。

●上流工程での取り組みは進んできている

セキュリティ診断を繰り返し受診する企業では、順守すべき設計・開発ガイドラインを用意し、活用を促しています。参照すべき規準を用意することで、Webサイト構築の上流工程である要件定義段階や設計段階で、脅威の洗い出しや、リスク分析、セキュリティ要件定義等のセキュリティ維持に必要な施策が、抜け落ちてしまう事を防ぐことができていると考えられます。

しかし、ガイドラインの活用に関して課題も挙げられています。物はあっても周知・教育が十分でない、ガイドラインに準拠しているかのチェックが行われない、新たな問題が指摘されてもガイドラインに反映されない等、PDCA（Plan、Do、Check、Act）サイクルのプロセスが途切れてしまった結果、発生しているようです。セキュリティ診断によって問題が指摘されたWebサイトが、ガイドラインに準拠して実装されているのであれば、上記のようなPDCAサイクルのいずれかのプロセスに少なからず問題がある事になります。そして、新たな「対策漏れ」を生みだす要因ともなり得ます。

●実装時の「対策漏れ」に有効なソースコード検査

一か所でも危険性の高い問題を残存させてしまえば、それまでの対策が水泡に帰す可能性も考えられるため、「対策漏れ」による問題を減少させる取り組みは重要です。

昨年度、「対策漏れ」を防ぐアプローチとして、一部の企業ではソースコード自体の検査を開発プロセスに取り入れ始めていると報告しました。「対策漏れ」として検出される問題は、Webサイトのほぼ全域でくまなく対策の必要があるクロスサイトスクリプティングや、データベースへの問い合わせを要する機能で必ず留意しなくてはならないSQLインジェクションというように、広範囲に渡って対策が必要な実装上の問題が大半を占めます。これらの問題は、作りこんでしまいやすい反面、ソースコードの検査を行うツールが検出を得意としている問題であり、開発プロセスに導入することで「対策漏れ」を防ぐ有効な手段となります。

また、ガイドラインにてSQLインジェクション等の対応指針が示されているならば、ガイドラインの内容が、個々の開発者が生産するソースコードに正しく反映されているかの確認にも利用する事ができると言えます。

●セキュアプログラミング能力の証明

Webサイトの運営主体の企業では、上記の通り様々な手法を開発プロセスに取り入れ、Webサイトの安全性を確保しようと努めています。実装時の「対策漏れ」に留意しなくてはならない現実からも、システム開発を他社に委託する際には、委託先企業の堅牢なシステムを開発する能力を測るケースが増えてくるでしょう。

システム開発委託先の企業も自主的にセキュリティに関する教育を進め、顧客に提供するシステムのセキュリティ品質を高める努力を行っていますが、高度なセキュアプログラミング能力を保有していることを客観的に評価できる指標が提供できれば、競争力の確保につながると考えられます。米国では、特定のセキュアプログラミング能力を測るための資格を保有していることを、ソースコードに触れるための条件としている企業もあるようです。

「対策漏れをなくす」考え方は、手戻りによるコストを低下させるために必要なことです。しかし、人間が携わる以上「対策漏れ」を根絶する事は難しいため、「対策漏れがあることを前提」としたアプローチで、多層防衛の観点でセキュリティ対策に取り組むことが必要であるといえるでしょう。