ソーシャルネットワークとWebアプリケーションを安全に連携させるには、脆弱性対策などのセキュリティ確保は必須だ。だが企業の対応は遅れていると専門家は危機感を募らせる。
JavaScriptの非同期通信やXML、Flash、HTML5といった新しいWeb技術の登場で、Webアプリケーションの表現力や機能は大きく向上した。Webアプリケーションをソーシャルネットワーキングサービス(SNS)と連携させることでコミュニケーションを容易にし、顧客の新規獲得に結び付けようとする動きも活発化している。だがセキュリティ専門家は、Webアプリケーションは攻撃者が企業のネットワークに侵入するための危険な要素にもなると注意を促す。
情報セキュリティ専門家団体であるISACAが発表した報告書「Web application security: Business and risk considerations」によると、Webアプリケーションは企業に効率向上と顧客層拡大のチャンスをもたらす一方、深刻なセキュリティ問題を抱えているという。JavaScriptの非同期通信をはじめとする新技術は、Webアプリケーションの表現能力や機能を高める半面、サイバー犯罪集団に新たな攻撃の機会を与えることにもなると報告書は指摘している。
クライアントアプリケーションやクライアント/サーバ型アプリケーションをWebアプリケーションに刷新する企業は多い。これはライセンス管理の合理化やOSの相互運用問題の回避、社外勤務者の増加への対応といったさまざまな理由によるものだ。だがWebアプリケーションは、外部の攻撃者から容易にアクセスできるなど相当数の弱点があるとISACAは注意を促す。
「Webアプリケーションを対象とするサイバー攻撃で、数え切れないほどの個人情報の流出やサービス障害、知的財産の盗難が発生している。罰金や営業損失、顧客離れ、顧客への連絡コスト、投資家や潜在的なビジネスパートナーの信用失墜など、攻撃で企業が負うことになるコストは何百万ドルに達する」と、ISACAの報告書は説明する。
顧客やパートナー、サプライヤーとのコラボレーションを容易にし、企業の認知度向上や市場シェア伸長を実現するのに、WebアプリケーションとSNSの連携は強力な手段となる。こうしたメリットを引き出すためにも、企業はWebアプリケーションの潜在的なセキュリティ問題を見落としてはならないとISACAは主張する。ISACAは企業の最高情報セキュリティ責任者(CISO)に対し、自社のソフトウェア開発ライフサイクルを見直して徐々に改善し、一般的なコーディングエラーに対応するよう提案している。セキュリティ構築の成熟度モデル「Building Security In Maturity Model(BSIMM)」などのフレームワークや方法論は、自社の対策の現状と大企業のベストプラクティスを比較する一助となる。
「Webアプリケーションのセキュリティ対策が、プログラマーにセキュアなコードの書き方を周知させるといった単純な対応で済むのなら大きな問題にはならない。だがWebアプリケーションは大規模で複雑なシステムの構成要素の一部であり、多数の要因に影響される。中にはテクノロジーとほとんど無関係の要因さえある」(ISACA)
ISACAの報告書は、Webアプリケーションの脆弱性の対応状況はいまだに不十分だという。SQLインジェクションやクロスサイトスクリプティング(XSS)といったWebアプリケーションの脆弱性の脅威は相変わらず大きい。インターネットを素早く巡回してWebアプリケーションの脆弱性を自動的に見つけ出すツールが存在するなど、攻撃者にとって脆弱性の悪用は最も容易な攻撃手段の1つになっている。Webアプリケーションの脆弱性の悪用で、そのアプリケーションが接続された企業ネットワークへの侵入に必要な情報が流出してしまうことも多い。これはSNSと結び付いたWebアプリケーションでも多く見られる問題であり、被害はより大規模になる。
「Webアプリケーションの脆弱性に対処しないと大きな影響が出ると理解していながら、多くの企業は有効な対策ができていないようだ。今ではさまざまな知識やリソースが容易に得られるのに、状況は悪化し続けている」(ISACA)
ISACAの報告書は、通信大手Verizon Communicationsが発表した最新の報告書「2011 Data Breach Investigations Report」の内容が、企業に誤解を招く可能性があると指摘する。Verizonの報告書は、「Webアプリケーションはもはや筆頭の攻撃対象ではなくなった」と結論付けている。だが報告書をよく読むと、「この結果は小売り業界やサービス業界の情報流出の攻撃事例を除くと一変する」と解説。これらの業界を除くと、Webアプリケーションはサイバー犯罪集団が利用する攻撃経路のトップに浮上する。
ISACAは「利用できる情報や支援策は大量にある。その多くは無料で、セキュリティ対策を理解する助けになる。だが最も重要な第一歩は、組織の経営陣がWebアプリケーションの脆弱性がもたらす潜在的な影響について認識し、その理解に基づいて必要なリソースを捻出することだ」と指摘する。
Copyright © ITmedia, Inc. All Rights Reserved.
LPガス販売を中心に、暮らしに関するサービスを展開するチョープロでは、VPNによるセキュリティ対策の限界を痛感していた。そこで、ゼロトラストセキュリティ実現のために「SASE」を採用した、同社の事例を紹介する。
ランサムウェアが著しく進化し、1社あたりの身代金は過去最高額に上っている。過去1年間の調査の結果を基に、標的となった業界や被害規模などの傾向、特に警戒すべき攻撃グループ、効果的な防御戦略について詳細に解説する。
多彩な事業を展開する大和証券グループでは、グループ企業間の連携ごとに構築されるセキュリティシステムが非効率さを招いており、それらの集約が急務となっていた。解決策として同グループが選んだのが、ゼロトラストへの転換だった。
テクノロジーの進歩によって攻撃対象領域が拡大している昨今、従来のSOCは対応能力の限界を迎えている。最新の脅威に対抗するためには、セキュリティ運用の抜根的な改革が必要になるが、どのように進めていけばよいだろうか。
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
