2009年07月27日

1.はじめに

「検索結果 約 4,100,000 件 …」、インターネット上の検索エンジンで「情報漏洩」をキーワードにして検索した結果です。情報漏洩事件を伝えるニュースを目にすることは、もはや珍しいことではなくなってしまいました。その被害件数は毎年多数に上り、とりわけ2008年においては、Webサイトを標的にした攻撃が大幅に増加したというデータ※も出ています。

Webサイトを利用したビジネスやサービスは飛躍的に広がり、Webサイトが個人情報や金融機関の口座情報、クレジットカード情報など、重要な情報を取り扱うことはごく一般的になっています。

一方で、そういった重要な情報を扱うWebサイトを標的とした攻撃は増加・多様化しており、これまではあまり話題にならかった問題を狙った攻撃や、既存の攻撃方法に工夫を加えた新たな手口による不正アクセス事件が発生してきています。例えば、セキュリティ機器での検知・防御などの既存の対策を回避して攻撃を成功させようとする動きも見られました。

インターネット上で事業を継続していくことは、次々に登場する新たな攻撃手法とのまるで終わりのない戦いであるかのようです。そのような状況の中で、Webサイトを運用する企業は、自社サイトのセキュリティを高いレベルで保つための対策を事前計画的かつコスト効率よく進めて行くことが求められています。

本レポートでは、NRIセキュアテクノロジーズ株式会社(以下NRIセキュア)が2008年度1年間に実施したセキュリティ診断サービスの結果、および過去における同様の結果をもとに、Webサイトのセキュリティ対策の傾向を分析するとともに、Webサイトが抱えている問題と企業が取り組むべきセキュリティ対策について解説します。

• ※ (参考) 特定非営利活動法人日本ネットワークセキュリティ協会
  「2008年度 情報セキュリティインシデントに関する調査報告書Ver.1.1」

2.調査概要

NRIセキュアでは、2008年度(2008年4月1日〜2009年3月31日)に217のWebサイトのセキュリティ診断サービス(Webアプリケーション診断)を実施しました。

診断対象となった217のWebサイトの運営主体(企業・官公庁)は全部で64であり、その属性は図1の通りです。Webサイトの開発・運用を外部にアウトソースしている場合は、アウトソース元の組織の属性を集計しています。また、業種に関しては、Web サイトごとに属性を集計しているため、1つの組織にある複数のWebサイトに対してセキュリティ診断を実施している場合は、Web サイトの数で属性を複数回集計しています。

3.セキュリティ診断結果からみるWebサイトのセキュリティの実態

3.1 致命的な欠陥のあるWebサイトは34%、わずかに減少

2008年度に実施したセキュリティ診断の結果を集計すると、34%のWebサイトで、他の利用者の個人情報をはじめとする重要情報に不正にアクセスできることを確認しました。また、42%のWebサイトでは、重要情報に不正にアクセスできることは確認できなかったものの、情報漏洩に繋がる可能性がある問題を確認できました。図2に診断結果の経年変化を示します。2008年度においては致命的な欠陥が発見されたWebサイトの割合が昨年度より7%減少し、NRIセキュアがセキュリティ診断結果の統計情報を分析し始めて以来、初めて40%を下回りました。その一方、情報漏洩の可能性があるWebサイトの比率は増加しており、逆に安全だと確認されたWebサイトの割合は減少しています。

• ※本レポートにおける「重要情報」とは、そのWebサイトの特性を考慮した上で、特定の正規の利用者のみにアクセスが制限されるべき情報を指します。例えば、パスワード、個人情報、金融サイトであれば口座残高、ショッピングサイトであればクレジットカード番号や注文履歴などが相当します。

致命的な欠陥が発見されたWebサイトの減少は、Webサイトのセキュリティ対策に取り組む企業の増加を示しています。その背景として、情報漏洩事件が近年多数発生し続けていること、事件規模が年々大きくなっていることが挙げられます。また、事件が起きた場合の事業への甚大な影響がメディアにより広く伝えられていることも、企業の危機意識を高めていると考えられます。こうした状況は、これまで積極的なセキュリティ対策にさほど注力していなかった企業のセキュリティ投資を後押しする一面もあったであろうと推察されます。

しかしながらその一方で、「情報漏洩に繋がる可能性がある」とされるWebサイトの割合には増加が見られます。これには、IT投資全般の予算が抑えられる中、致命的な問題には対策を行っておくが、それ以外の問題まで漏れなく対応するコストが掛けられないという、企業側の苦しい事情があるものと考えられるかもしれません。

その結果、致命的な問題には対策したものの、全般的な対策までは進めることができないサイトの割合が増加することで、2008年度のセキュリティ診断結果はこのような傾向になったものと考えられます。

なお、セキュリティ診断によって問題が発見されたWebサイトについては、NRIセキュアから診断結果と共に具体的な対策案を提示し、早急に対策を実施するよう強く促しています。その結果、ほとんどのWebサイトで適切な対策が実施され、現在は安全な状態になっていると推測されます。

3.2 情報漏洩に直結する3つの代表的な問題は減少傾向

主要な問題の発見割合を見てみると、重要情報に不正にアクセスできたケースでは、過去の結果と同様に、「関連チェック不足によるなりすまし（以下、なりすまし）」、「権限昇格による管理者機能へのアクセス（以下、権限昇格）」、「SQLインジェクションによるデータベースの不正操作（以下、SQLインジェクション）」の3つの問題が比較的多く発見されています。

これら重要情報に不正にアクセスできる問題は、年々減少傾向にあり、「なりすまし」「権限昇格」「SQLインジェクション」といった致命的な脆弱性の発見頻度は、いずれも20%を下回りました。この結果は、企業が情報漏洩への危機意識を持ってWebサイトのセキュリティ対策に取り組み、致命的な問題への対策が着実に進んだことを示しています。

しかし、「クロスサイト・スクリプティング」の発見割合は昨年度より若干減少しているものの、これまでと比べて大きな変化はなく、依然50%以上のWebサイトで発見されている状況です。一部の画面で対策漏れとして発見される割合が多い点は昨年までと同様の傾向にあります。完全な対策が進まない要因の一つとして、すべての箇所を漏れなく修正することが困難であるということが考えられますが、一方で同じく対策漏れとして検出されることが多い「SQLインジェクション」の問題は着実に対策が進んでいます。「クロスサイト・スクリプティング」脆弱性は非常に有名ではあるものの、これまで致命的な情報漏洩事故の原因として報道されることが少ないため、大きな損害に繋がる危険性が高い「SQLインジェクション」程には対策が徹底できずにいるのかもしれません。

一旦セキュリティ診断で検出された「クロスサイト・スクリプティング」脆弱性が、そのまま改修されずに見過ごされる事例はほとんどないと考えられますが、修正のためにはコストが発生し、正しく修正されたことの確認も必要となってきます。

セキュリティ診断で問題が検出された箇所のみを、対症療法的に対応してゆく方法は、診断対象となっていない箇所では問題が潜伏することとなり、また、新たな追加実装時にも同様の問題を作り込んでしまう可能性が高く、必ずしも問題を完全に排除するまでには至りません。結果として修正のための追加コストが発生し、コスト効率も悪くなります。

危険度の高い3つの代表的な脆弱性への対策が重要であることに変わりはありませんが、問題を作り込まないこと自体を目的とした対策が重要であるといえるでしょう。

1. 関連チェック不足によるなりすまし

   ログインに成功したユーザが、何らかの方法により、別のユーザの重要情報にアクセスできる問題です。例えば、ショッピングサイトにおいて、購買履歴を表示する機能があり、購買履歴の詳細な情報を表示する画面に遷移する際、内部的に利用されている「購買ID」をWebブラウザからWebサイトに送信しているケースを想定します。内部的に利用されている「購買ID」などを改ざんすることにより、他人になりすまして重要情報(購買履歴など)に不正にアクセスできるといったケースがよく見受けられます。

2. 権限昇格による管理者機能へのアクセス

   一般ユーザとしてログインした状態、あるいはログインの状態に関わらず、不正な操作をすることによって管理者機能などの特権操作を行うことができる問題です。管理者機能には、登録されているユーザの個人情報を一覧で表示するといった機密情報へアクセスできる機能が含まれている場合が多く、不正アクセスを受けると大きな被害に繋がる危険性が高いといえます。

3. SQLインジェクションによるデータベースの不正操作

   Webアプリケーションに想定しないSQL文を実行させることにより、データベースに蓄積されている情報を不正に取得したり、サーバ上で任意のコマンドを実行したりできる危険性の高い問題です。この問題を利用した攻撃は、2005年頃から数多く被害が発生しており、2008年春には、国内外で多くのWebサイト改竄被害が発生しているとして、公的機関から注意喚起が発表されました。

4. クロスサイト・スクリプティングによる不正なスクリプトの実行

   クロスサイト・スクリプティング攻撃と呼ばれる手法により、利用者のWebブラウザ上で不正なスクリプトを実行することによって、偽のページを表示したり、Cookieを不正に取得したりできる問題です。ただし、この問題を実際に悪用するには、利用者を欺いて不正なURLにアクセスさせるなど、いくつかの前提条件が必要です。このため本レポートでは、この問題が発見されただけでは「重要情報に不正にアクセスできた」とはせずに、「情報漏洩に繋がる可能性がある」という扱いにしています。

    

3.3 業務システムの多くに権限昇格の問題が存在

セキュリティ診断対象のWebサイトを、想定する利用者と認証処理の有無をもとに、「会員制サイト」、「お問い合わせサイト」、「業務システム」の３つの種類に分類して問題点の発見割合を比較してみました。

業務システムにおいては、会員制サイトやお問い合わせサイトといった他の形態と比較して、危険度の高い問題の発見割合が高くなっています。業務システムの特徴として、一般消費者向けのサイトとは異なり、アクセス元ネットワークが制限されている場合や、インターネットに公開されていない場合があり、多くのシステムが不特定多数からアクセスが制限されていることが挙げられます。自社の社員や関係者等限られたユーザのみがアクセスできるよう制限されていることが多いため、不正アクセスを受ける機会が少ないとの思いから、十分なセキュリティ対策が検討されていないことが考えられます。

また、もう一つの特徴として、機密性の高い情報を扱っている場合が多く、不正アクセスを受けた場合には、業務に大きな影響を与える危険性があります。診断の結果、業務システムにおいて不正アクセスが可能だった重要情報の一例としては下記のものがありました。

• 契約書などを含む重要書類
• 社内基幹業務システムへのアクセス権限
• データベースを直接操作可能な機能

次に提供形態別に主要な問題の発見割合を比較してみると、特に「権限昇格」の問題が、半数近くの業務システムにおいて発見されていることが判ります。

業務システムでは、ユーザの職権や所属ごとにアクセスできる情報や機能をコントロールする必要があるため、多くの場合、ユーザごとの権限管理を実装しています。一般社員ユーザ、部門担当者、管理者と権限が上になるに従い、アクセス可能な情報の重要度や範囲が大きくなっていきます。

先に述べた業務システムの特徴と併せて考えると、業務システムにアクセス可能な関係者から「権限昇格」を悪用した不正アクセスを受けた場合、低い権限しか持たない一般社員ユーザによる不正アクセスであっても、管理者のみがアクセス可能な機密情報まで漏洩してしまう可能性があり、業務に与える影響は甚大であると予想されます。業務システムにおける権限管理については十分に安全性を考慮した実装が必要です。

1. 会員制サイト

   一般消費者からアクセスされることを前提としたWebサイトで、パスワードなどを利用した利用者認証があるものです。インターネットバンキング(銀行)や、ショッピングサイトなどが相当します。規模が大きいサイトが比較的多いのが特徴です。

2. お問い合わせサイト

   一般消費者からアクセスされることを前提としたWebサイトで、利用者認証がないものがほとんどです。アンケートやお問い合わせなどが相当します。簡単な作りで、規模が小さいサイトが比較的多いのが特徴です。

3. 業務システム

   一般消費者ではなく、取引業者や自社社員などの関係者からアクセスされることを前提としたWebサイトです。パスワードなどを利用した利用者認証がある場合がほとんどです。コールセンター向けシステムや受発注管理システムの他、イントラネット上のシステムなどが相当します。

    

3.4 クレジットカードを取り扱うWebサイトの問題

クレジットカードを取り扱っているWebサイトを抽出し、傾向分析を行いました。これらのサイトは、主にショッピングサイトが相当します。

その結果、クレジットカードを取り扱うWebサイトのうち、37％で重要情報に不正にアクセスできることを確認しました。情報漏洩に繋がる可能性があるサイトの割合は52%であり、安全であると確認されたサイトの割合は11%にとどまりました。2008年度に診断対象としたWebサイト全体の結果と比較してみると、ほぼ同じ割合で致命的な問題が見つかっていることになり、クレジットカード情報を取り扱うWebサイトであっても特段セキュリティ対策が進んでいるわけではないということが判ります。

クレジットカード情報を扱うWebサイトは、その情報の重要性から、不正アクセスの標的にされやすく、また、情報漏洩が起きた場合、金銭的被害に繋がる可能性が高いと考えられます。その他のWebサイトよりも高いセキュリティレベルが要求されるため、今後は向上していくことが強く求められます。

また、クレジットカードを扱うWebサイトにおいて、カード番号を暗号化して保存しているかどうかを調査した結果、52%のWebサイトが暗号化しない状態でカード番号を保存していることが判りました。

なお、クレジットカードの取り扱い状況については、診断対象Webサイト担当者への事前ヒヤリングにて調査いたしました。一部回答が得られなかったケースは「未回答」にカウントしています。

クレジットカード番号を暗号化せずに保存している場合、データベースにアクセスすることが可能な内部関係者による不正持ち出しや、「SQLインジェクション」を悪用した外部不正アクセスにより、カード番号が漏洩し金銭的な被害が発生する可能性があります。2008年度に行ったセキュリティ診断において、実際に「SQLインジェクション」によりクレジットカード番号を不正に閲覧できたWebサイトも確認されました。

VISAが行った調査※ によれば、カード決済が可能なインターネット上の店舗で「カード決済をすることが多い人」が82％となる一方、インターネットショッピングの際のクレジットカード決済に「非常に不安を感じる」人が6.6％、「不安を感じる」人が33.8％との結果が出ており、多くの利用者が、インターネットショッピング時に不安を感じながらクレジットカード決済を行っていることが窺えます。

利用者のこうした不安を解消し、安心してインターネットショッピングを楽しめるようにするためにも、クレジットカード番号の暗号化保存等を含め、クレジットカード情報を安全に運用していくことが求められます。

また、カード情報の暗号化保存については、VISAやJCBなどのクレジットカードの国際ブランドが共同で策定した、カード情報保護のためのセキュリティ基準である「PCI DSS」の要件3において定められています。PCI DSSが広まることで、クレジットカード情報を取り扱うWebサイトのセキュリティレベルは、今後向上していくことが見込まれます。

• ※ (参考) ビザ・ワールドワイド・ジャパン
  2009年5月「オンライン決済に関する調査 ―過去6ヶ月以内にネットショッピングを行った男女500人に聞きました―」

PCI DSS

国際ペイメントカードブランド5社によって設立されたPCI SSC(Payment Card Industry Security Standards Council)によって管理されている、クレジットカード情報保護のためのセキュリティ基準です。クレジットカード番号の暗号化以外にも、クレジットカード情報の保護を目的とする12の要件が定められています。クレジットカード情報を取り扱う範囲を限定することや、Webアプリケーションのセキュリティ対策、認定業者(ASV: Approved Scanning Vendor)による定期的なセキュリティ診断、パッチマネジメントやアクセス管理、ログ監視など、クレジットカード情報の保護のためのセキュリティ対策が幅広く定義されています。
また、PCIDSSの特徴として、各項目で要求されているレベルが明確であり、実施すべき対策内容が具体的であることが挙げられます。国内でもカードブランドによっては一部の加盟店を対象にPCI DSSの順守期限をすでに設けており、クレジットカード情報を取り扱うシステムのセキュリティ対策においては、今後より注目すべきセキュリティ基準となります。

4. 投資対効果の高いセキュリティ対策を実現するために

2008年度のセキュリティ診断結果から、致命的な問題のあるWebサイトの割合は減少し、「なりすまし」「SQLインジェクション」などの直ちに情報漏洩に繋がる特定の問題への対策は着実に進んでいることが確認されました。しかしその反面、情報漏洩の可能性があるWebサイトの比率は増加し、「クロスサイト・スクリプティング」のように、さほど対策が進まないままの問題も存在しています。

実際に被害が発生しない限り、問題を放置した際の損害規模をイメージしづらく、対策の投資対効果が測りにくいことが、一因として考えられます。しかし、自社のサイトが被害を受けてから対策を講じても意味はありません。

セキュリティ対策を積極的に推進する企業では、セキュリティリスクをコントロールするためのマネジメントサイクル(PDCAサイクル)にWebサイトのセキュリティ診断を取り入れることが一般的になっています。
しかし診断の結果、多くの問題が発見されれば、その修正作業のために多額の費用が発生することになってしまいます。

トータルでのコストを抑えながら、投資対効果の高い対策を実現するためにはどのようなアプローチが有効でしょうか。

2008年度のセキュリティ診断で発見された問題のそれぞれについて、開発工程のどの段階で修正されるべきであったかを基準に分類を行いました。その結果、実に6割以上が設計フェーズまでに修正すべき問題であることが判りました。

このことは、Webサイト構築の開発サイクルの各フェーズにおいて事前計画的にセキュリティ施策を行うことで、実装フェーズに移行する以前に大半の問題を排除できることを示しています。

システムの開発サイクルでは、下流の工程に進むに従って手戻りの費用が増大します。そのことからも、より上流の工程からセキュリティ対策に取り組むことが効率的です。

例えば実装工程にソースコード診断を取り入れることで、セキュリティ上の問題が見つかっても実装工程で直ちに修正を行うことができ、システム完成後の受け入れテストで問題が見つかるよりも、手戻りのコストが少なくて済みます。

さらに上流の工程である要件定義段階において、セキュリティ設計・開発ガイドラインを設定・参照し、漏れのないセキュリティ要件定義を行う、設計段階においてセキュリティ設計レビューを取り入れるなど、各フェーズで多層的にチェックを行うことで下流に積み残す課題を減らすことが可能になります。

工程が下流に進むに従って、潜在する問題が排除されてゆく濾過のようなアプローチを取ることで、公開直前には、これまでの工程で漏れが生じた箇所のみ対策するだけで済むため、トータルでの費用を低く抑えながら安全なWebサイト構築を実現することができます。

投資対効果の高いセキュリティ対策を行うためには、サイト公開前にセキュリティ診断を受診することだけでなく、各工程においてセキュリティ対策を策定・実施していくことが有効です。

5. おわりに

2009年7月現在、金融不安に端を発した景気停滞からの急激な回復はいまだ難しく、多くの企業が経営環境の悪化から抜け出せずにいる状況にあります。このような経済状況の中、セキュリティ投資に対し潤沢な予算を確保できる企業は多くはないでしょう。

一方で、市況の悪化は金銭目的のインターネット犯罪を助長する可能性もあり、Webサイトが攻撃される脅威はさらに増大していくことが考えられます。

厳しい経済状況が続く中で、大きな損害を発生させる情報漏洩事故を引き起こすことは、企業にとって致命的な事態を招く可能性が高く、セキュリティ投資を軽視することは困難です。

企業は限られた予算の中で、効果的なセキュリティ対策を施さなければなりません。セキュリティ診断を受診して、自社のサイトに存在する問題が開発サイクルのどこの段階で作り込まれてしまっているのかを正確に把握することは、効果的なセキュリティ対策のための第一歩であるといえるでしょう。