Webアプリケーションの重要性と脆弱性

インターネットが当然のように利用される現代において、ECサイトや顧客向けサービスをはじめ、Webアプリケーションはビジネスに必須の存在となりました。

しかし、開発の工程で、あいまいな開発要件、開発者のささいなミスなどからアプリケーション内部に脆弱性を含んでしまうことは珍しくありません。また、個人情報や決済情報などを扱う場合、より入念なテストや評価が重要視されなければいけないのは当然ですが、Webアプリケーション開発は、常に時間との戦いでもあります。限られた開発スケジュールの中でどのように作業を進めても脆弱性を完全に排除することは難しく、どこかで見切りをつけてサービスを開始するという重要な判断が行われてしまう、というのが実情でしょう。

一方、最近のWebサイトへの攻撃は、Webアプリケーションの脆弱性を狙ったものが急増しています。2009年4月21日に独立行政法人 情報処理推進機構(IPA)から発表された資料(*2)によれば、2009年第1四半期に届け出を受理したWebサイトの様々な脆弱性のうち、Webアプリケーションの脆弱性としてよく知られるクロスサイトスクリプティング、SQLインジェクションの2種類だけで、実に全体の53%を占めているというデータが示されています(右図)。

*2 ソフトウエア等の脆弱性関連情報に関する届出状況
   【2009年第1四半期(1月~3月)】 より

脆弱性の種類と危険度

Webアプリケーションへの攻撃で狙われやすい脆弱性としては、最も代表的なSQLインジェクションやクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)をはじめ、優に数10種類が挙げられます。セキュアなアプリケーション開発を行うためにこれらの情報と対策を常に理解し続けることが、開発者にとって大きな負担になっているのも実情です。

また、これまでSSTが実施した多数のWebアプリケーション診断の結果では、約70%のWebサイトで危険度の高い脆弱性が検出されています。

*右図 2007年1月~2008年12月、SST調べ

このように、Webアプリケーションの脆弱性は、Webサイトの開発・運営には常に付きまとう、身近な問題となっているのです。

脆弱性がもたらす脅威

実際に、情報漏えい、サイト改ざんなど、Webアプリケーションへの悪意ある攻撃による被害事例は多数報告されてきました。

ひとたび、サイト改ざんや情報漏洩等の事故を起こせば、サービスの停止、ユーザーへの補償など、ビジネスに重大な影響を及ぼすことは避けられません。しかしながら、Webサイトに対する脆弱性対策は、そのコストが大きいことや、社内に専門知識を持った担当者が必要となってくることから、残念ながら未対策のWebサイトが数多く存在している、というのがこれまでの状況です。