Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

セキュリティ機器よもやま話。そしてなぜ、ワフ(WAF)は素人に好かれ玄人に嫌われるのか?

  2010/01/29 07:00

ウェブアプリ、穴があるならセキュリティ機器を入れればいいじゃない!最近ではオールインワンだのワフだのいろいろ出ていますが、あれを入れておけば大丈夫なんでしょうか?本当に?教えて、三輪先生!

セキュアなWebアプリが作れない理由

小泉

ホームページの改ざんなどは10数年以上も前から続いていますが、最近では改ざんではなくクレジットカードなどの個人情報を狙ったホームページへの侵入事件が相次いでいるようです。なぜいつまでもちゃんと防ぐことができないのでしょうか。

三輪

よく「セキュリティはいたちごっこだ」と言われることが多いのですが、ホームページへの攻撃に関しては、むしろ「いつまでも穴を作り続けること」の方が主な原因となっています。

小泉

いつまでも穴を掘り続けるというのはどういう意味ですか?

三輪

ホームページは静的コンテンツ、つまりindex.htmlのような固定のファイルだけでできているページだけでなく、動的コンテンツ、つまり、プログラムによって毎回作り出されているページも多く使われています。たとえば、ログイン後のユーザーごとの画面や掲示板などがそうです。

小泉

ホームページには、静的コンテンツと動的コンテンツがある。はい。ここまではOKです。

三輪

で、動的コンテンツというのは毎回プログラムで生成されているため、多くのプログラムがホームページのサーバ(Webサーバ)で動いており、そのプログラムをWebアプリケーションと言います。このWebアプリにハッカーの攻撃を許してしまうセキュリティホール、いわゆる脆弱性があるとそこから情報が盗まれたり、ウイルスをばら撒くサイトになったりしてしまうのです。

小泉

なるほど。Webアプリに穴がなければホームページは守れるということでしょうか。

三輪

それはすなわち、脆弱性のないプログラムを開発できれば、そこから侵入されることがなくなるということです。しかし、忙しく厳しい開発の現場の実情などもあり、Webアプリに脆弱性が作りこまれてしまうんですね。

小泉

劣悪な労働環境が品質を低下させている?

三輪

Webアプリの開発はどんどん開発価格が抑えられていっており、大学生がアルバイトでシステム開発会社でプログラミングをしていることも珍しくありません。しかも元請ではなく、ひ孫請けのような形態だったりもします。

小泉

そのような現場で「セキュアなプログラミング」と言ってもなかなか浸透しない。

三輪

だって「セキュリティに十分に注意した開発をして欲しいから料金は2割り増し払う」なんて会社はないですよ。「欠陥はなくて当たり前」という考えが主流で、そもそもセキュリティにお金を払おうという考えがない。したがって、納期に追われ料金を下げられているような現状ではとてもセキュリティなど望むべくもないですよ。

小泉

ではプログラミングから解決することは難しいというわけですね。

三輪

ごくわずかな会社がセキュリティに注意したプログラミング、セキュアプログラミングを自主的に行っていますが、それを開発単価に反映することは今でも難しいようですね。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 小泉 真由子(編集部)(コイズミ マユコ)

    情報セキュリティ専門誌編集を経て、2006年翔泳社に入社。エンタープライズITをテーマにイベント・ウェブコンテンツなどの企画制作を担当。

  • 三輪 信雄(ミワ ノブオ)

    日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。 政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務め...

バックナンバー

連載:教えて三輪先生!編集部小泉が訊く「いまさら聞けない」あなたのためのセキュリティ講座

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5