「脆弱性がないなんてありえない」F5、Webセキュリティについてのプレス向け勉強会を実施

上から、F5ネットワークス 代表取締役社長 長崎忠雄氏 セキュアスカイ・テクノロジー 代表取締役 乗口雅充氏

　F5ネットワークスジャパンは12月6日、「Webアプリケーションの脆弱性の脅威とその対策」と題したプレス向け勉強会を実施した。

　本勉強会ではWebアプリケーションの脆弱性の現状について、Webセキュリティを専門にした脆弱性診断サービスなどを展開するセキュアスカイ・テクノロジー 代表取締役 乗口雅充氏をゲストに招聘。実際のコンサルティングを通して得た経験や実績を通じて得た知見について語った。

　冒頭から乗口氏は「検査を実施すると片っ端から脆弱性が見つかる状況」「脆弱性がないなんてありえない」と語るなど、Webセキュリティの現状に強い警鐘を鳴らした。

　そもそもWebにおける脆弱性は、Webアプリケーションを通してページを表示させるページ、いわゆる動的なページにおいて存在する。これはたとえばショッピングサイト、スケジュール管理サイト、企業における資料請求フォームなどである。

　これまで脆弱性というと、OSであったり、その上にあるミドルウェアに存在するものが中心に考えられてきた。確かにこれらにも多くの危険なセキュリティの脆弱性があったり、バグや致命的な問題を引き起こすことがある。

　ただし、これらは原則メーカーやソフトウェアベンダーからパッチやサポートが提供されている。その一方、Webアプリケーションについては、自社専用にスクラッチ（構築）したものが多く、あまりセキュリティ対策情報が普及していない現状がある。

　これについて乗口氏は3つの角度から問題点を分析。1．開発者・開発会社サイドの問題、2．ユーザーサイドの問題、3．脆弱性の検査を行う検査サイドの問題である。

　開発会社は現在、Webアプリケーションの開発に「低単価」と「短納期」が強く求められている。納期を絶対に間に合わせなければならない中で、出荷前検査などというのはまさに論外。乗口氏の提案にもかかわらず、普及する見込みはないという。また、発注するユーザーサイドも、納期と価格だけで開発会社を決定しており、納期ぎりぎりで仕様変更を依頼することもざらにあるという。

　そういった中で、Webアプリケーションの開発会社を信用してはいけない現実があり、「ユーザー側で受け入れ検査を実施する必要がある」とした。

　ただしこれまでのWebアプリケーション検査は手動による検査が主体で、長期間の日程、高額な検査料などが必要とされていた。現在はこの点について、自動化できるものは自動化し、手動で行う必要性があるものについては実施する複合的な利用方法がもっともコストパフォーマンスに優れていると語った。

　脆弱性が見つかった修正方法については、中規模以下のサイトではWebアプリケーションの個別プログラム修正を中心としながらも、大規模なミッションクリティカルなサイトにおいては、WAF（Webアプリケーション・ファイアウォール）を利用することを推奨した。

　F5からは代表取締役社長の長崎 忠雄氏、武堂貴宏氏が登壇。同社のロードバランサ「BIG-IP」国内市場No.1を報告するとともに、同製品のモジュールとしても、WAF機能が提供されることを報告した。

　専用のアプライアンスとしてはApplication Security Managerを用意しているものの、モジュール版ではロードバランサの「BIG-IP」の価格に、110万円を追加することで利用できるという。なお、スタンドアロンタイプの専用アプライアンスの場合、640万円するとしている。

　今後同社では、引き続きWebアプリケーションの脆弱性に関するアナウンスを続けていくとともに、日本市場への積極的な投資を継続していき、「アプリケーションデリバリーネットワーク」市場の拡大、顧客満足度の向上に努めていくとした。

Webアプリケーションの脆弱性の脅威