ISACA報告書：SNSとWebアプリの安易な連携が被害を大規模化：Webアプリの脆弱性放置が情報漏えいの温床に

ソーシャルネットワークとWebアプリケーションを安全に連携させるには、脆弱性対策などのセキュリティ確保は必須だ。だが企業の対応は遅れていると専門家は危機感を募らせる。

[Robert Westervelt，TechTarget]

　JavaScriptの非同期通信やXML、Flash、HTML5といった新しいWeb技術の登場で、Webアプリケーションの表現力や機能は大きく向上した。Webアプリケーションをソーシャルネットワーキングサービス（SNS）と連携させることでコミュニケーションを容易にし、顧客の新規獲得に結び付けようとする動きも活発化している。だがセキュリティ専門家は、Webアプリケーションは攻撃者が企業のネットワークに侵入するための危険な要素にもなると注意を促す。

SNSセキュリティ対策関連記事

• 従業員のソーシャルメディア利用をどう管理するか
• Facebookの業務利用に必要なWANセキュリティ対策とは？
• Twitter利用ポリシーの作成でSNSの脅威に対抗せよ

　情報セキュリティ専門家団体であるISACAが発表した報告書「Web application security: Business and risk considerations」によると、Webアプリケーションは企業に効率向上と顧客層拡大のチャンスをもたらす一方、深刻なセキュリティ問題を抱えているという。JavaScriptの非同期通信をはじめとする新技術は、Webアプリケーションの表現能力や機能を高める半面、サイバー犯罪集団に新たな攻撃の機会を与えることにもなると報告書は指摘している。

　クライアントアプリケーションやクライアント／サーバ型アプリケーションをWebアプリケーションに刷新する企業は多い。これはライセンス管理の合理化やOSの相互運用問題の回避、社外勤務者の増加への対応といったさまざまな理由によるものだ。だがWebアプリケーションは、外部の攻撃者から容易にアクセスできるなど相当数の弱点があるとISACAは注意を促す。

　「Webアプリケーションを対象とするサイバー攻撃で、数え切れないほどの個人情報の流出やサービス障害、知的財産の盗難が発生している。罰金や営業損失、顧客離れ、顧客への連絡コスト、投資家や潜在的なビジネスパートナーの信用失墜など、攻撃で企業が負うことになるコストは何百万ドルに達する」と、ISACAの報告書は説明する。

Webアプリケーションのリスクに対処するには

　顧客やパートナー、サプライヤーとのコラボレーションを容易にし、企業の認知度向上や市場シェア伸長を実現するのに、WebアプリケーションとSNSの連携は強力な手段となる。こうしたメリットを引き出すためにも、企業はWebアプリケーションの潜在的なセキュリティ問題を見落としてはならないとISACAは主張する。ISACAは企業の最高情報セキュリティ責任者（CISO）に対し、自社のソフトウェア開発ライフサイクルを見直して徐々に改善し、一般的なコーディングエラーに対応するよう提案している。セキュリティ構築の成熟度モデル「Building Security In Maturity Model（BSIMM）」などのフレームワークや方法論は、自社の対策の現状と大企業のベストプラクティスを比較する一助となる。

セキュリティフレームワーク関連記事

• パブリッククラウドを選択できない企業、クラウドが越えなければならない壁
• 簡単に導入できるリスク評価フレームワーク
• コンプライアンス＝セキュリティではない

　「Webアプリケーションのセキュリティ対策が、プログラマーにセキュアなコードの書き方を周知させるといった単純な対応で済むのなら大きな問題にはならない。だがWebアプリケーションは大規模で複雑なシステムの構成要素の一部であり、多数の要因に影響される。中にはテクノロジーとほとんど無関係の要因さえある」（ISACA）

　ISACAの報告書は、Webアプリケーションの脆弱性の対応状況はいまだに不十分だという。SQLインジェクションやクロスサイトスクリプティング（XSS）といったWebアプリケーションの脆弱性の脅威は相変わらず大きい。インターネットを素早く巡回してWebアプリケーションの脆弱性を自動的に見つけ出すツールが存在するなど、攻撃者にとって脆弱性の悪用は最も容易な攻撃手段の1つになっている。Webアプリケーションの脆弱性の悪用で、そのアプリケーションが接続された企業ネットワークへの侵入に必要な情報が流出してしまうことも多い。これはSNSと結び付いたWebアプリケーションでも多く見られる問題であり、被害はより大規模になる。

Webアプリ脆弱性関連記事

• Web攻撃を受ける企業に共通するセキュリティ対策の誤り
• 「費用対効果見えにくい」Webアプリケーション脆弱性診断、その有用性は？
• 今取り組むべき情報漏えい対策が分かる3つのホワイトペーパー

　「Webアプリケーションの脆弱性に対処しないと大きな影響が出ると理解していながら、多くの企業は有効な対策ができていないようだ。今ではさまざまな知識やリソースが容易に得られるのに、状況は悪化し続けている」（ISACA）

　ISACAの報告書は、通信大手Verizon Communicationsが発表した最新の報告書「2011 Data Breach Investigations Report」の内容が、企業に誤解を招く可能性があると指摘する。Verizonの報告書は、「Webアプリケーションはもはや筆頭の攻撃対象ではなくなった」と結論付けている。だが報告書をよく読むと、「この結果は小売り業界やサービス業界の情報流出の攻撃事例を除くと一変する」と解説。これらの業界を除くと、Webアプリケーションはサイバー犯罪集団が利用する攻撃経路のトップに浮上する。

　ISACAは「利用できる情報や支援策は大量にある。その多くは無料で、セキュリティ対策を理解する助けになる。だが最も重要な第一歩は、組織の経営陣がWebアプリケーションの脆弱性がもたらす潜在的な影響について認識し、その理解に基づいて必要なリソースを捻出することだ」と指摘する。

関連ホワイトペーパー

Webアプリケーション | 脆弱性 | セキュリティ対策 | フレームワーク | JavaScript | 情報漏洩 | 情報流出 | XSS