企業が提供するWebサービスや、企業のホームページ、業務システムなど様々なところでWebアプリケーションが利用されています。その一方、Webアプリケーションの脆弱性を狙ったサイバー攻撃は増加傾向にあり、システムダウンやサービス停止に追い込まれる事態は少なくありません。そこで、三菱電機インフォメーションシステムズ株式会社(MDIS)では、Webアプリケーションの脆弱性を診断する「Webアプリケーション診断」を提供しています。診断結果をもとに適切な対策を実施することで、セキュリティーレベルを維持し、セキュリティー事故が発生するリスクを低減することができます。
目次
サイバー攻撃による情報流出により企業の社会的信頼性が低下
Webアプリケーションとは、Webサーバー上で実行され、ブラウザーによってインターネット経由でアクセスすることができるアプリケーションです。クライアント側にアプリケーションをインストールする必要がなく、どこからでも利用できる反面、サイバー攻撃を受けるリスクがあります。
近年のサイバー攻撃には2つの傾向が見られます。1つめはネットワークに侵入し、データを暗号化することで法外な身代金を要求するランサムウェア攻撃の増加です。攻撃により工場の一時停止や基幹業務の停止といった被害をもたらします。2つめは特定の組織や個人を狙った標的型攻撃の増加です。Emotet(エモテット)に代表される標的型攻撃メールを送りつけ、システムをマルウェアに感染させて機密データを盗み出すことを目的とし手法も巧妙化しています。金融第二事業部 システム第二部 第一課の佐藤弘崇氏は次のように語ります。
「企業のシステムが不正にアクセスされるとビジネスに大きな影響を受けます。機密情報や顧客情報の漏洩、高額な金銭的損失、サービスの停止などの被害を受け、企業の社会的信頼性や評判が損なわれ、顧客の離反、新規顧客の獲得が困難になるといった問題が生じます。こうした被害を回避するためにも、サイバーセキュリティー対策の重要性はより高まっています」
Webアプリケーションの脆弱性を検出しセキュリティー事故が発生するリスクを低減
サイバー攻撃対策は、利用者と開発者の双方の視点で総合的に実施する必要があります。利用者側では強力なパスワードの使用やパスワードの使いまわしの禁止に加えセキュリティー意識の向上を図ることなど、開発者側ではシステムの監視と脆弱性診断などが代表的な対策となります。
「脆弱性診断はセキュリティー上の欠陥や弱点を特定するための評価プロセスで、セキュリティーの状態を確認する対策のうち最も重要な手法の1つです。そのなかでWebサーバー上で動作するアプリケーションの診断に特化したものがWebアプリケーション診断で、当社では独自の診断手法で脆弱性を特定し、改善策を提示します」(佐藤氏)
一般的に、Webアプリケーションの脆弱性は、要件定義や設計・製造時の考慮漏れ、Webアプリケーション実装時のミスなどに起因するものが多くを占めます。そこで、診断対象のWeb画面に対して自動診断ツールや技術者の手動操作でクロスサイトスクリプティングやSQLインジェクションなどの脆弱性を狙った攻撃を疑似的に仕掛け、レスポンスの挙動から脆弱性の有無を判断します。
「Webアプリケーション診断は、Webアプリケーションのセキュリティー向上のために活動している非営利団体(OWASP)が定期的に発行しているレポートであるOWASP TOP102021に準拠しています。これにより、最も警戒すべき項目のトップ10の診断は確実に実施されます。もう1つの特徴として、自動診断と手動診断の2つを組み合わせてリスクを幅広く評価するサービスを提供しています」(佐藤氏)
サービスメニューは、お客様の要件や環境に合わせて5項目、10画面までの「ライトプラン」、自動+手動診断で30項目、100画面まで、網羅的、高品質、効率的な診断を行う「スタンダードプラン」、診断項目をお客様と相談して決定する「カスタマイズ」の3プランが用意されています。スタンダードプランについては、Webアプリケーション診断のホームページから画面遷移数を入力するだけで概算費用を確認することができます。
変化するセキュリティーリスクに追従するためにも、脆弱性診断は定期的に実施する必要があります。日々増え続ける新たな脆弱性や進化する攻撃手法、インターネット公開システムの更改や設定変更の影響により、セキュリティーレベルは時間の経過とともに低下し、一定のレベルを下回ると重大なセキュリティー事故に結びつく可能性が高くなるからです。MDISでは、アプリケーションの開発段階や更新時だけでなく、最低でも年1回の診断実施を推奨しています。
大手損害保険会社の実績をもとにサービス化
Webアプリケーション診断の事業化は、2018年度に大手損害保険会社のグループ会社向けに脆弱性診断を実施したことに始まります。2019年度には同グループ全体の診断を担当することになり、それを契機に診断内容をメニュー化し、幅広いお客様向けにサービスの提供を開始しました。金融第二事業部 システム第一部 第七課 課長の高倉晴久氏は次のように語ります。
「サービスメニュー化に向けて、診断の流れを細かく分解して業務フロー、チェックリスト、手順書を作成しました。当初から経済産業省が策定する『情報セキュリティサービス基準』の資格取得を意識し、必要な推奨ツールの選定、お客様向けサービス仕様の作成、品質管理マニュアルの整備、ホームページへの情報掲載、担当者の育成等を実施しました。その結果、2021年度には情報セキュリティサービス基準の資格を取得し、認定事業者として登録されました」
MDISのWebアプリケーション診断の強みは、実際にアプリケーション開発を担当してきたエンジニアが中心となってサービス化したことにあります。
「私自身、アプリケーションエンジニアとして長いキャリアを積んだ後、2016年からセキュリティーエンジニアとして業務を担当しています。三菱電機の研究会でセキュリティーの知見を得ながら情報処理安全確保支援士の資格を取得し、脆弱性診断のサービス化に関わりました。サービス化に際しては、OWASP TOP10 2021に準拠に加えて、セキュアなWebアプリケーションを開発する上で必要な要素を診断に組み込むことを意識しながら取り組みました」(高倉氏)
アプリケーションからプラットフォームまでトータルでのセキュリティー強化に貢献
Webアプリケーション診断は、大手金融機関や保険会社をはじめ、多くのお客様にご利用いただいています。
「診断を実施したお客様からの評価は高く、継続的にご利用いただいています。診断内容についても、サイバー攻撃の進化に対応できるように改善を継続し、安心してシステムを利用いただけるように努めています」(高倉氏)
今後もサービスを進化させながら、幅広い業界への提供していく計画です。MDISでは、脆弱性診断サービスのメニューとして、サーバーのOSやミドルウェア、ネットワーク機器などのインフラ領域に存在する脆弱性を検出する「プラットフォーム診断」も提供しており、アプリケーションからプラットフォームまで、トータルでのセキュリティー強化に貢献していきます。
「現状に留まることなく、サービスの進化に継続的に取り組んでいきますので、お気軽にお問い合わせください」(高倉氏)