技術だけではWeb攻撃に対抗できない:Column
Webアプリケーションの自動脆弱性スキャナが攻撃を100%シミュレートするのは不可能だ。セキュリティ分野では機械が完全に人間に取って代わることはあり得ないのだ。
2003年11月、チェスマシン「X3D Fritz」は、チェスの名人で元世界チャンピオンのガルリ・カスパロフ氏との4番勝負で引き分けた。この「人間対機械」という古典的な対戦でX3D Fritzが見事な勝負を演じたため、この対戦は人工知能の勝利であると喧伝された。X3D Fritzの強さは、1秒間に何百万通りもの指し手を計算し、駒の配置を何ギガバイト分も記憶することによって実現された。カスパロフ氏が駒を動かすたびに、X3D Fritzは膨大な知識ベースを参照することによって盤面を分析し、考えられる最善手を選択した。
チェス、世界最強のコンピュータチェスマシン、そしてガルリ・カスパロフ氏は、Webアプリケーションのセキュリティとどんな関係があるのだろうか。
セキュリティ専門家たちは何年も前から、技術だけでは、Webアプリケーションの脆弱性を100%特定したり、攻撃を完全に防御したりすることができなくなる日が来ると考えていた。つまり、セキュリティ分野におけるカスパロフ氏のようなプロフェッショナルが不要になることはない、ということだ。Webアプリケーションのセキュリティは、チェスとは根本的に異なるゲームであり、ネットワークセキュリティとも異なるということが、専門家の間で理解されるようになってきた。Webサイトのセキュリティを評価するプロセスにおいて、機械が完全に人間に取って代わることはあり得ないだろう。さらに重要なのは、その理由を理解することだ。
2003年11月、チェスマシン「X3D Fritz」は、チェスの名人で元世界チャンピオンのガルリ・カスパロフ氏との4番勝負で引き分けた。この「人間対機械」という古典的な対戦でX3D Fritzが見事な勝負を演じたため、この対戦は人工知能の勝利であると喧伝された。X3D Fritzの強さは、1秒間に何百万通りもの指し手を計算し、駒の配置を何ギガバイト分も記憶することによって実現された。カスパロフ氏が駒を動かすたびに、X3D Fritzは膨大な知識ベースを参照することによって盤面を分析し、考えられる最善手を選択した。
チェス、世界最強のコンピュータチェスマシン、そしてガルリ・カスパロフ氏は、Webアプリケーションのセキュリティとどんな関係があるのだろうか。
セキュリティ専門家たちは何年も前から、技術だけでは、Webアプリケーションの脆弱性を100%特定したり、攻撃を完全に防御したりすることができなくなる日が来ると考えていた。つまり、セキュリティ分野におけるカスパロフ氏のようなプロフェッショナルが不要になることはない、ということだ。Webアプリケーションのセキュリティは、チェスとは根本的に異なるゲームであり、ネットワークセキュリティとも異なるということが、専門家の間で理解されるようになってきた。Webサイトのセキュリティを評価するプロセスにおいて、機械が完全に人間に取って代わることはあり得ないだろう。さらに重要なのは、その理由を理解することだ。
チェスは単純明快なゲームだ。盤面上で許される指し手の数は有限で、終盤の駒の配置も限られている。チェスでは、任意の盤面から数手先までのあらゆる指し手を計算することが数学的に可能だ。ゲーム自体の変化が有限(膨大な数ではあるが)のため、確実な勝利に至る手順を計算することが可能なのである。いずれ、コンピュータがチェスで引き分けることなく、常に人間に勝つようになるだろう。
これとは対極的な位置にあるのがWebサイトだ。Webサイトはユーザーの操作については門戸開放主義を採っており、インターネット標準に従うことはまれで、全く同じ動作を2度繰り返すことはない。オンラインショッピングやインターネットバンキングといった単純で似通ったタスクでも、機能的にもアーキテクチャ的にも大きく異なる。そしてWebアプリケーション脆弱性スキャナは、プロセスの最終結果が決して明らかでない複雑な環境の中で運用されるのだ。
Webアプリケーション脆弱性スキャナがセキュリティ問題を特定するためには、Webサイトの動作がある程度予測可能である必要がある。緩やかなルールセットを使用する脆弱性スキャナは、Web攻撃をシミュレートし、脆弱性を示す証拠となる応答を解析することによって脆弱性を特定する。セキュリティ問題が存在する場合に、Webサイトが通常どのような反応を示すかは、経験的に知られている。特定のメタキャラクタをWebサイトに送信すると、ODBCデータベースのエラーメッセージが生成されるのであれば、SQLインジェクション問題が検出された可能性が高いということも知られている。筆者が勤務するホワイトハットセキュリティでは、これらを「技術的脆弱性」と呼んでおり、脆弱性スキャナはこの種の問題を特定する能力がかなり高まってきた。しかし、Webサイトがますます高度化するのに伴い、昨日までは脆弱性を示す証拠であったものが、今日は誤認(フォールスポジティブ)であったりするのだ。つまり、特定の結果が必ずセキュリティ問題の存在を示すという保証はないのである。その結果、自動的なプロセスで単純な脆弱性を見つけるのが難しくなり、複雑な脆弱性を見つけるのは不可能になったのだ。
具体的な例で考えてみよう。Webサイトにアクセスしたら、以下のようなURL(実際には存在しない)が表示されたとする。
http://example/order.asp?item=50&price=300.00
この場合、「order.asp」というアプリケーションと「item」および「price」というパラメータの組み合わせが、どんな機能を実行するのか推測できるだろうか。人間特有の知性を働かせれば、このアプリケーションの目的をかなりの確かさで推定することができる。そう、これは製品注文用のアプリケーションである。「item」パラメータは、購入対象の製品を表す。ここでは、iPodとしておこう。「price」パラメータは、このポータブルミュージックプレーヤーに対して支払う価格を表す。この300.00という価格を100.00に変更したらどうなるだろうか。あるいは、1.00に変えてみたらどうだろうか。このWebサイトは、それでもiPodを売ってくれるのだろうか。もしそうだとしたら、このWebサイトは価格の変更を許可すべきでなかったということは容易に理解できる。人間は、状況(コンテキスト)を判断する自然な能力を備えているからだ。われわれは、この種の問題を「論理的脆弱性」問題と呼んでおり、これは人間にしか特定できない問題だ。
さて、自動スキャナがこれと全く同じ攻撃を一般的な方法で試みた場合、Webサイトの応答が適切か否かをどうやって判断するのだろうか。攻撃が成功したのか、それとも完全に防御されたのかをどうやって知るのだろうか。また、そもそも「item」と「price」パラメータがどんな意味を持っているのか分かるのだろうか。答えは明らかだ。脆弱性スキャナは、こういったことを正しく判断することができない。URLに含まれる数字は、状況が異なれば全く違った意味を持つ可能性も十分にある。カスタムWebサイトでどんなことが起きなければならないかというルールは、チェスのようには定義することができない。こういった判断を行うには、状況に関する知識に加え、未定義の結果を「論理的に」理解する能力が必要とされるのだ。
数学の世界では、非常に大きなこの障害を一般に「決定不可能な問題」と呼んでいる。決定不可能な問題とは、どんな場合でも解決することが可能なアルゴリズム(あるいはコンピュータプログラム)が存在しない問題である。チェスは決定不可能な問題ではない。常にすべての場合を想定することができるからだ。カスタムWebアプリケーションソフトウェアの脆弱性を完全に分析するというのは、決定不可能な問題である。チェスというゲームはコンピュータで完全に自動化できるのに、カスタムWebアプリケーションの脆弱性の特定は自動化できないのは、こういった理由による。人間の心には、まだコンピュータにはまねできない特異な側面が存在する。数千件に及ぶセキュリティ評価を集約したデータに基づくホワイトハットの統計では、完全に自動化された方法で検証することが可能なWebアプリケーションのセキュリティ問題は、全体の約半数にすぎないことが示されている。それ以外の論理的問題の検証には、Webアプリケーションセキュリティ分野のカスパロフ氏が関与する必要があるのだ。
Webアプリケーションセキュリティを徹底的に評価するには、何十万件ものカスタムテストを実施しなければならない可能性がある。手作業でやるとすると、世界で最も優秀なセキュリティ専門家であっても、これほど膨大な仕事を現実的な時間内で完了するのは絶対に無理だろう。
本格的なエンタープライズクラスの脆弱性スキャナのパワーをX3D Fritzのように活用し、自動化できる単調なタスクを肩代わりさせることにより、人間の作業量を大幅に減らすことはできる。脆弱性スキャナは、クロスサイトスクリプティングやSQLインジェクションといった技術的脆弱性を検出するのに威力を発揮するが、価格表の修正、クレデンシャル/セッションの予測、不十分な認証といった論理的脆弱性の特定には効果がない。
総合的かつ効率的で一貫性のある検証方法と、経験豊かなセキュリティ専門家のノウハウを組み合わせることが、すべての脆弱性を特定するためのベストプラクティスであるというのが、今日の業界の認識である。当社の顧客は、このプログラムを作成するために「WhiteHat Sentinel」を利用している。これは、Webサイトの脆弱性の継続的な評価と管理が可能なターンキー型アプローチである。
「HAL 9000」(訳注:映画「2001年宇宙の旅」に登場するコンピュータ)のような人工知能型コンピュータが出現する可能性もあれば、だれかが数学分野で画期的なブレークスルーを実現する可能性もあるが、今のところ、技術は人間の心にはとてもかなわない。
本稿著者のジェレマイア・グロスマン氏は、ホワイトハットセキュリティの創業者兼CTO(最高技術責任者)。ウェブアプリケーションセキュリティコンソーシアムの共同創設者で、サーチアプセキュリティ・ドットコムの専門委員会のメンバーでもある。アプリケーションセキュリティ対策(脅威のモデリングやソフトウェア開発ライフサイクルにセキュリティを織り込む方法など)に関するユーザーの質問にもWebサイト上で答えている。
Copyright © ITmedia, Inc. All Rights Reserved.