業界標準のガイドラインもWebアプリケーションの脆弱性を評価する際に役立ちます。代表的なものとして、本稿では「OWASP Top 10」と「CWE Top 25」をご紹介します。
OWASP Top 10は、Webアプリケーションの脆弱性を、「悪用のしやすさ」、「蔓延度」、「検出しやすさ」、「技術面への影響」、「ビジネスへの影響」といった観点からランク付けし、最も重大なWebアプリケーションセキュリティリスク(「Most Critical Web
Application Security Risks」)Top 10を選出しています。一方、CWE Top 25は、ソフトウェア開発で起こり得るプログラミングエラーを体系的に分類した項目リストであるCWE(共通脆弱性タイプ一覧)をベースにしたものです。リストの各項目に対し、米国の脆弱性情報データベースNVDの評価を加味して危険度のスコアを算出し、最も危険性が高いと評価されるソフトウェアエラー(「Most Dangerous Software Errors」)Top 25を選出しています。
Webアプリケーションの観点でいうならばOWASP Top 10が「ブラックボックステスト」であり、CWE Top 25は「ホワイトボックステスト」と考えることができます。
同様の傾向は、他国のセキュリティ機関の分析からも伺えます。タイのCSIRT組織ThaiCERTによるレポート『THREAT GROUP CARDS: A THREAT ACTOR ENCYCLOPEDIA』(2019年6月公開)を見ると、日本をターゲットに含めた攻撃は、もはや少ないとは言えません。たとえば、「Blackgear」と呼ばれる攻撃グループは日本を明白なターゲットにしており、C&Cの拠点を日本に置き、日本語の文書を使って攻撃を仕掛けます。また、2018年に確認された東南アジアの自動車関連企業をターゲットとした攻撃では、タイミングを同じくして特定の日本企業への攻撃が複数回観測されています。さらに、ターゲットとされる業種や狙われる情報の種類が多様であることも目を引きます。かつては、銀行のデータや個人情報がまず標的になりましたが、ここ数年、ターゲットの業界が航空宇宙・自動車・医療・製薬へとシフトし、ブラックマーケットでの高額取引が期待できる、各業界に固有の技術情報や特許出願前情報の奪取へと、攻撃目標が変化しています(表2参照)。
縫田:そうですね。暗号の観点でインパクトがあった最初の研究結果は、1994年にPeter W. Shor氏が証明した素因数分解の量子計算アルゴリズムです。現行のコンピュータでの大きな整数の素因数分解には膨大な計算量を要しますが、インターネット等で使われる暗号の安全性は、この計算量の大きさに依存しています。もし量子コンピュータが実現されるとこういった暗号の安全性が崩壊する、としたのがShor氏の論文です。
杉浦:ただ実際に彼らが集まるのも、私が企画(「Zaif犯人追跡ハッカソン」4杉浦氏が呼びかけ人となり、CTF(Capture The Flag:情報セキュリティの技術を競う競技)の優秀者らで不正出金に対する調査方法を考案、実証した試み。))した以上は将来的にお金が見えている可能性があるので(笑)。そうでないとあんな優秀な人たちを使えないですから、実際は。そういう仕組みをしっかり整えて、それを実証することによって、将来的に同様の事件があった場合に、速やかに対応をとれるような体制5一般社団法人 日本ハッカー協会。を構築することが大事ですね。結構な費用がかかるんですが、(官は)前例がないことに費用はかけにくい。ですから前例を作ってしまおうというのが狙いではありますよね。
齊藤:そのとおりですね。SIEM(Security Information and Event Management)なんかも多くの企業で導入していますが、本当に必要なログを有効な方法で取得しているか、あとで確認できるものになっているか、というとまだまだハテナをつけざるを得ない。特に企業側で運用を始めますと、工数のこと考え始めますから。余計なログはとりたくない、とか。そういう考えに陥ってしまう。そういう意味でいくと、セキュリティ専門でそこだけを見ているようなところに頼んでいただけると、運用工数ありきのセキュリティにはならないわけですね。
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.