Webアプリケーションの脆弱性対策とは？

Webサイトを開発・運営するとき、常に課題になるものとして、脆弱性があげられます。脆弱性があるWebサイトは、欠陥があるものの、正常に作動します。しかし、いつトラブルが発生するか分かりません。そのため、早め早めに脆弱性対策を講じる必要があります。今回は、Webサイトの脆弱性対策について解説させていただきます。

Webサイトを運用する際、利用するWebアプリケーションやOS、ミドルウェアなどにすでに脆弱性があったり、新しい脆弱性が発見されることが多々あります。本来ならすぐにセキュリティアップデートを行いますが、システム上の問題で改修が難しかったり、そもそも脆弱性に気が付かないまま運用することも珍しくありません。目視で確認できるサイバー攻撃が起きた時、初めて脆弱性の存在に気がつくことがほとんどです。

しかし、早い段階で脆弱性診断を行っていれば、脆弱性による重大なトラブルの未然防止を図れます。

WebサイトなどのWebアプリケーションの脆弱性診断は、専門業者がWeb上で攻撃者の視点から疑似的に攻撃を仕掛け、Webアプリケーションに脆弱性が潜んでいるか否かを識別するサービスです。

診断を担当するスタッフには、ハッカーと同様の高度なスキルと知識を持ち合わせています。悪意のあるハッカーがWebアプリケーションの脆弱性を狙って攻撃する前に、脆弱性を見つけることがミッションです。診断で得られたデータを元に脆弱性がなくなるようにシステム改修をおこなります。

Webアプリケーションの修正作業は、Webアプリケーションの作りによって異なります。万が一大量の脆弱性が発見された時には、脆弱性の根本的な原因となっている部分の究明・修正に多大なコストと時間を費やさなければなりません。その場合もちろん改修するための費用がかかります。Webサイトを運用するときは、運用開始後に脆弱性対策を行わなければならなくなることを頭に入れておかなければなりません。

但し、あくまで脆弱性診断は補助的な対策のため、脆弱性対策が欠かせません。常に情報セキュリティを意識し、対策を講じることが重要です。

Webサイトへの攻撃手法は、1つではありません。脆弱性を狙った多種多様な手法があり、脆弱性と攻撃手法に合わせて対策方法を吟味することが大切です。Webサーバは、ウイルス対策やファイヤーウォールなどの対策によって、安全性を確保できます。しかしながら、Webアプリは、これらの対策のみでは使用時に危険が伴うでしょう。Webアプリの脆弱性の大半は、Webサーバで用いられている対策が効きません。

クロスサイトスクリプティングの脆弱性が存在しているWebサイトは、開発者が特殊文字を認識せずに作っています。特殊文字とは、タグの開始・終了を意味する区切り文字など、HTMLで意味を持つ文字の総称です。この特殊文字は適切な方法で変換し、HTML中に記さなければなりません。対策する場合は、先ず画面上で正確にデータ入力できるか否かをチェックします。

例えば、郵便番号の項目に8桁の数字を入力した時、エラー処理が行われなければ、問題が起きている証拠です。日本国内の郵便番号は7桁で構成するというルールに背いています。アルファベットや漢字の入力に対して反応しない場合にも、同様のことが言えるでしょう。クロスサイトスクリプティングの対策においては、1つ1つの項目に入力して確認する単純作業が肝心です。

強制ブラウジングは、情報漏洩の例が数多く報告されています。データを保管する場所が発生要因となっています。第三者のアクセスを防がなければならない情報がWebサーバのドキュメントルート上に設置されていなければ、強制ブラウジングの攻撃を回避できるでしょう。

セッション管理に問題がなかったとしても、パラメータの改ざんは発生します。開発者は油断することなく、脆弱性対策に取り組まなければなりません。
パラメータの改ざんとは、URLに付与されるURLパラメータをアドレスバーから改ざんし、不正アクセスをするサイバー攻撃です。対策を講じる場合には、文字列を工夫することが重要です。

攻撃者によってHTTPレスポンスに細工が施されると、ユーザーが悪意のあるコンテンツへと誘導されてしまいます。この問題は、レスポンスヘッダの一部分を部外者が入力できない状態にすることで解決します。

Webサイトの攻撃手法は、日を追うごとに高度化・巧妙化しています。プログラム上の小さな綻びによって、情報が悪用されているケースは少なくありません。そのため、Webサイトの開発・運営者は、脆弱性対策に力を注ぎ、攻撃者の行動を妨害する必要があります。同時に、脆弱性がないWebサイトを開発する手法の確立が急務となっています。