2011年11月30日 09時00分 公開
特集/連載

ISACA報告書:SNSとWebアプリの安易な連携が被害を大規模化Webアプリの脆弱性放置が情報漏えいの温床に

ソーシャルネットワークとWebアプリケーションを安全に連携させるには、脆弱性対策などのセキュリティ確保は必須だ。だが企業の対応は遅れていると専門家は危機感を募らせる。

[Robert Westervelt,TechTarget]

 JavaScriptの非同期通信やXML、Flash、HTML5といった新しいWeb技術の登場で、Webアプリケーションの表現力や機能は大きく向上した。Webアプリケーションをソーシャルネットワーキングサービス(SNS)と連携させることでコミュニケーションを容易にし、顧客の新規獲得に結び付けようとする動きも活発化している。だがセキュリティ専門家は、Webアプリケーションは攻撃者が企業のネットワークに侵入するための危険な要素にもなると注意を促す。

 情報セキュリティ専門家団体であるISACAが発表した報告書「Web application security: Business and risk considerations」によると、Webアプリケーションは企業に効率向上と顧客層拡大のチャンスをもたらす一方、深刻なセキュリティ問題を抱えているという。JavaScriptの非同期通信をはじめとする新技術は、Webアプリケーションの表現能力や機能を高める半面、サイバー犯罪集団に新たな攻撃の機会を与えることにもなると報告書は指摘している。

 クライアントアプリケーションやクライアント/サーバ型アプリケーションをWebアプリケーションに刷新する企業は多い。これはライセンス管理の合理化やOSの相互運用問題の回避、社外勤務者の増加への対応といったさまざまな理由によるものだ。だがWebアプリケーションは、外部の攻撃者から容易にアクセスできるなど相当数の弱点があるとISACAは注意を促す。

 「Webアプリケーションを対象とするサイバー攻撃で、数え切れないほどの個人情報の流出やサービス障害、知的財産の盗難が発生している。罰金や営業損失、顧客離れ、顧客への連絡コスト、投資家や潜在的なビジネスパートナーの信用失墜など、攻撃で企業が負うことになるコストは何百万ドルに達する」と、ISACAの報告書は説明する。

Webアプリケーションのリスクに対処するには

 顧客やパートナー、サプライヤーとのコラボレーションを容易にし、企業の認知度向上や市場シェア伸長を実現するのに、WebアプリケーションとSNSの連携は強力な手段となる。こうしたメリットを引き出すためにも、企業はWebアプリケーションの潜在的なセキュリティ問題を見落としてはならないとISACAは主張する。ISACAは企業の最高情報セキュリティ責任者(CISO)に対し、自社のソフトウェア開発ライフサイクルを見直して徐々に改善し、一般的なコーディングエラーに対応するよう提案している。セキュリティ構築の成熟度モデル「Building Security In Maturity Model(BSIMM)」などのフレームワークや方法論は、自社の対策の現状と大企業のベストプラクティスを比較する一助となる。

 「Webアプリケーションのセキュリティ対策が、プログラマーにセキュアなコードの書き方を周知させるといった単純な対応で済むのなら大きな問題にはならない。だがWebアプリケーションは大規模で複雑なシステムの構成要素の一部であり、多数の要因に影響される。中にはテクノロジーとほとんど無関係の要因さえある」(ISACA)

 ISACAの報告書は、Webアプリケーションの脆弱性の対応状況はいまだに不十分だという。SQLインジェクションやクロスサイトスクリプティング(XSS)といったWebアプリケーションの脆弱性の脅威は相変わらず大きい。インターネットを素早く巡回してWebアプリケーションの脆弱性を自動的に見つけ出すツールが存在するなど、攻撃者にとって脆弱性の悪用は最も容易な攻撃手段の1つになっている。Webアプリケーションの脆弱性の悪用で、そのアプリケーションが接続された企業ネットワークへの侵入に必要な情報が流出してしまうことも多い。これはSNSと結び付いたWebアプリケーションでも多く見られる問題であり、被害はより大規模になる。

 「Webアプリケーションの脆弱性に対処しないと大きな影響が出ると理解していながら、多くの企業は有効な対策ができていないようだ。今ではさまざまな知識やリソースが容易に得られるのに、状況は悪化し続けている」(ISACA)

 ISACAの報告書は、通信大手Verizon Communicationsが発表した最新の報告書「2011 Data Breach Investigations Report」の内容が、企業に誤解を招く可能性があると指摘する。Verizonの報告書は、「Webアプリケーションはもはや筆頭の攻撃対象ではなくなった」と結論付けている。だが報告書をよく読むと、「この結果は小売り業界やサービス業界の情報流出の攻撃事例を除くと一変する」と解説。これらの業界を除くと、Webアプリケーションはサイバー犯罪集団が利用する攻撃経路のトップに浮上する。

 ISACAは「利用できる情報や支援策は大量にある。その多くは無料で、セキュリティ対策を理解する助けになる。だが最も重要な第一歩は、組織の経営陣がWebアプリケーションの脆弱性がもたらす潜在的な影響について認識し、その理解に基づいて必要なリソースを捻出することだ」と指摘する。

ITmedia マーケティング新着記事

news046.jpg

Ziplocの「下味冷凍」プロジェクトに学ぶ“ピンチをチャンスに変える”マーケティング
コロナ禍で大きく変わった生活者の動向とメディアニーズ。変化に対して俊敏に対応した成...

クラウドファンディングを活用して広告出稿 MOTION GALLERYと電通が「AD MISSON」を提供開始
自己資金は乏しくても共感性が高く社会貢献の見込めるプロジェクトが情報発信できるため...

news017.jpg

「A/Bテスト」ツール 売れ筋TOP10(2021年10月)
今週は、「A/Bテスト」ツールの売れ筋TOP10を紹介します。