掲載誌 | 有料メールマガジン「Scan Security Wire(2005年度)」 今注目のネットワークにまつわる規格・制度をわかりやすく解説! |
---|---|
掲載年月 | 2005年2月23日 Vol.313 |
執筆者 | 小松信治(アイドゥ) |
ウェブサイトに潜む脆弱性と聞いて何を思い浮かべるだろうか。近年特にその危険性が指摘されているのが、クロスサイトスクリプティングに代表される、Webアプリケーションの脆弱性を突いた攻撃である。これらの手法は残念なことに、PC向けサイトにおいては一般的に定着している。実は広くは知られていないが、この手法は今までセキュリティ問題が話題に上ることのなかった携帯サイトに対しても、立派に通用してしまうのだ。このような状況の中、国内の先陣を切る形で、2005年1月25日に携帯電話情報サービス最大手の株式会社サイバードとセキュリティ事業も手掛ける情報通信インテグレータの京セラコミュニケーションシステム株式会社(以下 KCCS)とが共同で「携帯電話向けWebサイトのセキュリティサービス」の提供を発表した。今回は、本サービス立ち上げのキーマンである株式会社サイバード技術統括部長の落合氏とKCCS ITソリューション事業本部副事業本部長の徳丸氏とに、携帯電話向けWebサイトの脆弱性と、サービス立ち上げの経緯から今後の展開まで、幅広く語っていただいた。
―― 始めに、携帯電話向けWebサイトの脆弱性についてお話いただけますでしょうか。
徳丸氏 「Webアプリケーションの脆弱性とは、Webサーバ等に内在する脆弱性とは異なり、Webサーバにコンテンツを載せた時点で初めて顕在化します。入力フォームのテキスト欄にURLなどの制御文字を書き込むクロスサイトスクリプティングが有名です。一言でまとめるなら、これは、Webアプリケーションのバグです。」
落合氏 「残念ながら携帯向けWebサーバのアプリケーションでも、同様のバグ、つまり脆弱性は存在しています。また、PC向けWebアプリケーションの脆弱性とは異なる、携帯特有の脆弱性もあります。」
徳丸氏 「PCの場合、ブラウザ上にURLが表示されますから、簡単なフィッシング詐欺などであれば、回避することができますよね。しかし、携帯の場合、画面上にURLすら表示されませんから、PC以上に危険性は高いですね。」
落合氏 「確かにそれは現在の携帯特有の脆弱性の一つで、メーカー側では修正していく方向にあるようです。その他にも、特定の端末のみで悪用できてしまう脆弱性や、携帯キャリアのインフラの仕組みに由来する脆弱性なども存在しています。」
―― 先ほど実被害を2例お話いただきましたが、その他具体的にどのような被害が想定されるでしょうか。
落合氏 「被害が大きいのは、モバイル利用のe-コマースサイトでしょう。最悪、クレジットカード番号、商品購入履歴、顧客情報が流出するなどが考えられます。また、第三者による、不正利用も考えられます。」
徳丸氏 「正直なところ、カードの不正利用は現実には起こらないと思っていました。しかし、『振り込め詐欺』に名前が変わりましたけど『オレオレ詐欺』ですか、現実の世界でもできてしまうわけですよ。ネットでは、さらにやりやすいだろうと、今は思っています。」
落合氏 「最近、あるクレジットカード会社さんがフィッシング被害を公表しましたが、携帯電話の場合URLが見えないのでより狙われやすい。まずはe-コマースサイトの運営企業様には対策を真剣に検討いただきたい。同様にコンテンツ系サイトでも被害の可能性はあります。課金サイトの脆弱性を突き、コンテンツをダウンロードし放題にしてしまうなど、可能性はあります。」
徳丸氏 「PC向けサイトでのこれまでの傾向をみると、クラッカーが脆弱性を衝いて不正な操作をするケースももちろんありますが、どちらかというと、一般のお客様が一連の操作の中で、事故として本来見えてはならない情報が見えてしまったというパターンが多いんです。携帯電話向けサイトでも、その傾向は変わらないのではないでしょうか。」
落合氏 「かなり昔の話ですが、画像系コンテンツのURLを掲示板に貼られてしまったという事例がありました。サイバードでもその際には対応を十分に検討しましたし、現在はもちろん対策済みです。」
徳丸氏 「セキュリティは最も弱いところから破られていきますね。携帯端末のセキュリティとして指紋認証技術などが導入されていますが、それよりもコンテンツやWebアプリケーション周りのセキュリティレベルが低く、狙われやすい。これは確かだと思います。」
―― 携帯電話向けWebアプリケーションに対する危機感を持っていらした両社では、かなり早くから協業の動きがあったのでしょうか。
落合氏 「いいえ。徳丸さんに初めてお会いしたのは、昨年の6月でした。以前から両社間ではビジネス上の取引はありましたが、今回の話を進めようと決めたのは、その時です。その日のうちに決めました。協業決定の最短記録です(笑)。」
徳丸氏 「KCCSで、PC向けWebアプリケーションのセキュリティサービスを開始したのが昨年6月ですが、その発表にサイバードさんをご招待しまして。落合さんにお会いして、あっと言う間に話が進みました。」
落合氏 「携帯電話向けWebサイトのセキュリティサービスは以前から念頭にありながら、とても1社では不可能だと考えていた、ちょうどそのときでしたから。PC向けサービスのデモを見て、これだ!と。」
徳丸氏 「私も携帯電話向けWebサイトでもサービスを行いたいとの思いはあり、協業するならサイバードさんだと思っていました。携帯電話に関するノウハウの蓄積は他社の比ではありません。」
落合氏 「それからテスト環境を整え、共同研究を開始したのが9月頃。携帯電話向けWebアプリケーションの総合的な脆弱性ノウハウの蓄積を終えて、今回のサービス提供開始に至ったと、そんな流れですね。」
―― サービスの概略と特徴をお話いただけますか。
徳丸氏 「脆弱性診断が基本サービスです。通常Webアプリケーションの脆弱性診断ではサーバを止めるか、テスト環境を用意する必要がありますが、本サービスのLight版ではサーバを止めず本番環境で診断可能です。これは非常に大きな特徴です。」
落合氏 「診断結果を見て、アプリケーションソフトの修正などの対策ソリューションをサイバードまたはKCCSさんから提供する流れになります。」
徳丸氏 「根本的な解決にはアプリケーションを修正することが望ましいのですが、これはすぐに手を付けられない場合も多い。ですから、お客様のご要望によっては、アプリケーションファイアウォール『InterDo』を導入し、とりあえず防ぐということもご提案します。」
落合氏 「ええ。そのあたりの対策はKCCSさんの専門分野になりますね。逆にサイバードで専門に担当するのが、新しい携帯端末発売時の対応です。新端末のセキュリティの要点をまとめ、診断の仕組みのアップデートをいち早く行う作業を、サイバードが実施します。」
徳丸氏 「両社の専門を生かし、診断実行と診断の仕組みづくりとで役割分担をしっかり分けているので、お客様にとっては安心して利用できる分かりやすいソリューションとなっていると思います。」
落合氏 「そうですね。このサービスの強みは、徳丸さんの言う役割分担と、その背景にある両社の実績にあります。サイバードの強みは、過去発売された全ての携帯電話を保有し、それらのノウハウを持ち、現在でも検証可能なこと。発売されているほぼ全ての携帯電話で実機テストができる環境は、なかなか無いのではないでしょうか。今回のサービスも、これを背景に網羅的に行ったテスト結果で裏付けられた携帯電話向けサービスという点では、国内初です。」
徳丸氏 「KCCSの強みはPC向けWebアプリケーションで培った豊富な実績ですね。診断の分野ではもちろん、対策サービスの分野での実績もありますから、実現可能かつ実効性のある対策案をお客様に提案できます。また、データセンターでの古くからの携帯電話向けWebホスティングの経験も大きな強みです。」
―― 今後のビジネス展開について、どのようにお考えでしょうか。
徳丸氏 「サービス開始直後の今は、診断実績を増やすことに注力しています。先日のセミナーは非常に好評で、診断希望のお客様が既にいらっしゃるのはありがたい。そこにWebアプリケーション修正のニーズは確実に存在するので、しっかりつかんで行きたい。」
落合氏 「サイバードでは現在でもモバイルサイトの様々なコンサルティングを行っています。サイト企画的な部分からはじまり、システムのパフォーマンスや画面遷移の改善などを提案していく中での、追加メニューとしてセキュリティを位置づけています。『安心』を売るという非常に太い柱を得たわけです。」
徳丸氏 「KCCSには、売上目標はあります。ただし、考え方としてはサイバードさんと似ています。トータルなセキュリティコンサルティングサービスの中の1つの柱として、本サービスを提供していく予定です。セキュリティは弱いところから崩されてしまうので、お客様の弱点がWebアプリケーションであるなら、このサービスをお勧めすると言った形になります。」
落合氏 「将来的には、脆弱性を持たない携帯向けWebアプリケーション開発のコンサルティングや教育事業などもできれば、という構想はあります。まだ具体化しているわけではないですけれども。」
徳丸氏 「確かに、教育は事業として成り立つと思います。KCCSでは、PC向けでは既に事業化しつつあります。」
落合氏 「特殊技能を持ったマネージャー派遣など、開発会社様向けのサービスはニーズがありそうだと感じています。いずれにしても、この分野の事業は今後成長間違いないでしょう。」
徳丸氏 「ええ、脆弱性が存在する限りは(苦笑)。業界団体で、Webアプリケーションの脆弱性を無くす方法を議論しているのですが、セキュアな実行環境、つまり現在の各種スクリプト言語に代わる『来るべきプラットフォーム』が必須だと言う点で、意見が一致しています。実現できれば、本サービスは不要になってしまいますけれども。」
落合氏 「そのようなプラットフォーム作りも事業化の対象になりますね。むしろ、社内ニーズが大きい。開発者教育よりも実効性のある解決策になるのは間違いないですね。」
このブログ記事を参照しているブログ一覧: 対談記事:携帯サイトからの情報漏えいを防ぐ ~サイバードと京セラコミュニケーションシステム、共同で新規サービスを展開~
このブログ記事に対するトラックバックURL: http://www.eyedo.jp/cgi-bin/mt/mt-tb.cgi/66
コメントする