あなたの会社では、何かしらの Web システムを利用していますか?
メールフォームだって、小さな Web システムの一種ですよ!
企業で公開していないところはないと言っても過言ではないほど、
ホームページ(Web サイト)は作るのが当然になりました。
しかし、
Web サイトと共に作られた Web システムの保守を業者と契約もせず、
社内の誰もメンテナンスしていないようないわゆる放置されたサイトでは、
実は結構なリスクを抱えています。
リスクを1つ挙げれば情報漏洩なのですが、
放置されているが故に何が起こっているかにも気づかず、
ずっと顧客情報を世の中に垂れ流している会社も結構あります。
そこで本日は、
Web システムに存在するリスクについて、簡単にまとめてみました。
<<本コンテンツの対象となる方>>
・顧客などの情報を扱う Web システムをお持ちの方
<<Web システムの種類>>
Web システム(Web アプリケーション)とは、
「Web ブラウザで実行するアプリケーションの総称」です。
技術的には様々なものが絡んでくるの正確性は排除しちゃいますが、
要はパソコンやスマホで動くアプリケーション*以外*のアプリケーションと
今回はざっくり捉えてください。
例を挙げてみます。
・メールフォーム
・アンケートフォーム
・ショッピングカートシステム(EC サイト)
・顧客管理システム
・商品管理システム
・人材管理システム
・SNS
・Wiki
・ブログ
・電子掲示板
・ポータルサイト
・検索サイト
etc…
Web ブラウザから何かしら情報を入力すると、
それに対応した結果が出てくる仕組みの事ですね。
上記の機能全てが1つの企業サイトにあるわけではありませんが、
あなたのサイトにも何かしらの機能は含まれているのではないでしょうか?
<<どんなリスクが発生し得るのか>>
悪意のあるユーザーが何をするかによりますが、
次の様なリスクが代表的なものであり、
顕在化すれば企業価値を間違いなく下げるでしょう。
・顧客情報などが漏洩してしいまう
・他サイトへの攻撃の踏み台にされてしまう
・訪問者がフィッシングサイトへ誘導されてしまう
・不正な課金や送金が行われて強い舞う
・アクセスしてきたユーザーの通信を盗聴されてしまう
そして何よりも恐ろしいのは、
二次災害の範囲が掴みきれないことです。
<<なぜ Web システムが脆弱性を含んでしまうのか>>
結論から言えば、人為的なミスが大半を占めます。
技術者の理解不足などから起こるプログラムのバグですね。
脆弱性を作り出す要因は多々あり、
代表的なものを挙げても次のようなものがあります。
・XSS(クロスサイト スクリプティング)
・SQL インジェクション
・ファイルの公開範囲の設定ミス
・DNS 情報の設定不備
・HTTP レスポンス分割
・セッション管理の不備
・ディレクトリ トラバーサル
・クロスサイト リクエスト フォージェリー
・HTTPS の不適切な利用
・セキュリティ設定の不備
・リダイレクター設定の不備
etc…
上記はすべて必須のチェック事項なのですが、数が多いと感じませんか?
実際普段からシステム開発を行っているプログラマーでも、
全てを漏れなくプログラムするはなかなか大変です。
脆弱性を減らすためにはフレームワークなどを利用するのが好ましいのですが、
初心者プログラマーほどその存在を知らない、
存在価値を軽んじている傾向が強いという、残念な問題もあります。
そしてこの脆弱性を放置する事が、
リスクを顕在化させてしまう事に繋がるのです。
おまけに脆弱性というのは、
日々進歩する IT の世界では増え続けている現実があります。
<<素人で脆弱性は見つけられるのか?>>
まず無理です。
見つかる時は、恐らく問題が顕在化したときでしょう。
Web システムに対してテストを行うことが
見つけるのに最も適しているのですが、
テストの仕方を知らない方がテストを行っても、
正常系*1の問題しか見つかりません。
脆弱性のほとんどが異常系*2にあるので、
残念ながら見つけること自体が難しいのです。
参考)
*1正常系:正しく動くべき手順でシステムを利用すること
*2異常系:正しく動くべき手順*以外*でシステムを利用すること
(=正常系以外)
<<まとめ>>
一度きちんと作られたシステムであっても、
保守(メンテナンス)を行わなければ IT 技術の進歩に付いていけません。
Windows や Mac OS ですら
毎月1回以上のアップデートで脆弱性を減らそうとしているのですから。
あなたには、
今回の内容で Web システムを放置するリスクについて
気にしていただけるようになればと思っています。
弊社のコンサルティングサービスでは、
既に構築された Web システムのチェック・対策も請けております。
詳細なチェックは有償ですが、
簡単なチェックであれば無料で行いますので、お気軽にご相談ください。