Webアプリケーションのセキュリティに関する調査
今回、Webアクセス管理の話題を進めるにあたり、日本CAで実施したアンケートの結果を引用してみます(回答者数:350。企業規模は小規模、中規模、大規模混在。2007年5月~6月実施)。
まずは実際にどの程度企業内でWebアプリケーションが使用されているのでしょうか。
何かしらのWebアプリケーションを利用している企業がほとんどですが、中には「なし」という企業もいらっしゃいます。Webアプリケーションが半数以上を占めているユーザは、51.85%になっています。これで多い、少ないの判断はしかねますが使用しているからには何らかの問題点を抱えていらっしゃるはずなので、次の質問でそのあたりを聞いています。
上位5つに上がったものを紹介しています。
まず、「アプリケーションの運用統合」を問題視している企業が350社中101社と一番多くなっているのがわかります。ここでは対策として「統合」がキーワードとして考えられます。
次に、セキュリティ対策が注目されています。具体的にはユーザID・パスワードでの単一要素認証のみ、従ってアプリケーション内で他のセキュリティ対策などが取られていない、ログインしてしまえば基本的に何でも出来てしまう可能性もある…という状態です。最近はIT内部統制の観点から、個人の役割に合った操作、システムへのアクセスが求められます。アプリケーション内でも誰々はこの役割を持っているから何ができる、という役割に基づいたアクセスのみが実現可能な状態にしておくべきです。WebではURL直接入力により任意のページへショートカットできます、「SQLインジェクション」の危険性も検討しなければなりませんから関連するエリアとしてDBMSでのアクセス権限管理、あわせてOSでのアクセス権限管理も重要になります。このように「アクセス管理」もひとつのキーワードと考えられます。
3番目の問題としては「セキュリティ基盤が無い」というところが上がっています。基盤があると無いとでは何が違うのでしょうか。基盤を使って新規開発をすれば開発コストが削減できますし、管理する場所は基盤ひとつで済みますから運用面でのメリットもあります。セキュリティをポリシーに基づいて実装する際などは、基盤が有効に働きます。
