Webアプリケーションの重要性

  1. HOMEHOME
  2. 私たちのサービス私たちの原点
  3. Webアプリケーションの重要性

Webアプリケーションとは?

Webアプリケーションとは、Webサイト上で動くプログラムのこと。
ECサイトや会員サイトのような複雑なものから、問い合わせフォーム等のシンプルなものまで、
サイトを運営している企業であればWebアプリケーションをいくつか公開していることが多いでしょう。
こうしたWebアプリケーションが、サイバー攻撃の格好の標的となっています。

脆弱性と攻撃

従来からネットワークやOSへの攻撃は行われており、その対策もある程度確立され普及していましたが、2000年代以降は新たにWebアプリケーションの脆弱性を狙った攻撃が多発するようになりました。

Webアプリケーションは、サイトコンテンツを動的に表示するだけなく、データベースとの間で顧客情報や取引情報等のデータのやり取りをしたり、認証を管理したりします。Webアプリケーションに脆弱性がある場合、通常のサイト利用の際には意図した通りの動作をするだけですが、想定外のパターンで不正なアクセスを受けると、データベース上の任意のデータをまとめて読みだしたり、サイト内容や利用者のデータを自由に改ざんしたり、正常な利用者の認証を利用して勝手に取引を行ったり、ということが可能になってしまいます。

Webアプリケーションへの攻撃で狙われやすい脆弱性としては、最も代表的なSQLインジェクションやクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)をはじめ、優に数10種類が挙げられます。特にSQLインジェクションについては、データベースの中身を抜き取られて大量の情報漏えいに繋がるケースが多く、最も注意が必要な脆弱性です。

※独立行政法人情報処理推進機構(IPA)から、被害状況や攻撃傾向等の統計データや、
Webアプリケーション開発に際して推奨する一般的な対策の考え方などの各種資料が公開されています。

事業への様々な悪影響

お客様の立場から見ると、Webサイトは「安全で当たり前」であり、攻撃によって個人情報漏えいの被害が発生した場合、損害が比較的軽微だったり、運が悪かったという理由で許されることはありません。

ひとたび情報漏えいが起こると、

  • ・顧客への直接的被害と損害賠償責任
  • ・被害サイトが、クレジットカード決済を利用できなくなることも
  • ・調査や報告など各種手続きに追われる
  • ・対応にあたった人材が疲弊し、運営部門が弱体化
  • ・ネット上で半永久的に残り続ける風評

…など、長期にわたって事業に多大な悪影響をもたらします。

また、被害がサイト改ざんだけだったとしても、その損害はお客様からの信頼や社会的信用の喪失にとどまりません。改ざんが判明した箇所以外に悪意ある仕掛けが行われていることが多いため、大がかりな調査や再構築が必要となることが多く、作業費用とサイト停止による事業ロスを含めると非常に大きな痛手となります。

企業がWebサイトを運用する以上、安全なサイト運用を行い、万一の事態に備えておくのが最低限の責任であり、自己防衛の手段だといえるでしょう。

ほとんどの企業にとって身近な問題

かつては不正アクセスというと、技術を持った愉快犯が興味本位や売名のため攻撃を仕掛けたり、思想的政治的背景を持って公的機関への攻撃を行うといったイメージがありましたが、現在では、利用者のアカウントを利用した金銭/物品の詐取や、抜き取った個人情報の売買により、現実的な経済的利益を狙った攻撃が主流になったと考えられています。

Webアプリケーションで扱うデータやユーザー認証の安全をいかに守るかが、Webサイトを利用して事業を行う全ての企業にとってごく身近な問題となったといえるでしょう。

Webサイトセキュリティの 「レイヤー」MAP

なぜ、SSTはこの分野を重要と考えるのでしょうか?

ITを取り巻く情報セキュリティにはたくさんの分野がありますが、私たちSSTはその中でも、
Webアプリケーションセキュリティに特に重点を置いてサービスの提供と技術開発を行っています。
その理由は何でしょうか?

Webアプリケーションセキュリティは…

1企業とお客様の接点を守る
最前線の防衛ライン
売上/利益に直結する企業の生命線であると同時に、ひとたび漏えい等が起これば事業や企業全体に長期的な損失が発生。
2サイトごとの個別対応が必要で
定番対策が確立していない分野
独自機能の追加や向上に積極的であるほど脆弱性が紛れ込むリスクが増加するジレンマ。
3お客様の正常な通信と攻撃を
区別するのが難しい
正常通信を妨げず攻撃のみをしっかり防御するため、より複雑な解析と人的コストが必要。
4全社システム部門の協力を得にくい
場合も多く、事業部門が危険に
気づかないまま放置されることも
プロフィットセンターとコストセンターのはざまで管理が行き届かない恐れ。

このように重要かつ対応の難しい分野ですが、一方でWebサイトの制作/開発において重視されるのはスピードです。たとえ開発者側がWebアプリケーションセキュリティの重要性を意識していたとしても、実際の開発現場では、限られたスケジュールの中で常に時間との闘いになるのが一般的で、脆弱性が紛れ込んでしまうことを完全に防ぐのは大変難しいといえます。
また、発注者/運営者側にはセキュリティエンジニアがいなかったり、いても各サイトのセキュリティ実装に都度関わるのは難しい場合がほとんどでしょう。

だからこそ、セキュリティのプロフェッショナルの支援によってWebアプリケーションの防御を最適化することが企業の利益に直接つながると、私たちは考えるのです。

Webセキュリティをざっくり理解するための3つのMAP

Page Top