F5 BIG-IP Application Security Manager(旧TrafficShield)
Webアプリケーション市場動向
国内セキュリティ最新事情
<セキュリティ侵害に顕著な傾向>
2003年度中は、ウィルスやワームの被害について、多くの報道がありました。しかしながら2004年度には大きな被害の実例を耳にすることほとんどありませんでした。これは実質的な被害が少なかっただけに過ぎず、ウィルスの発見報告は2003年度に1万7425件だったのに対し、2004年度の報告件数は5万2151件と増加し、約3倍もの件数となっています。
また、2005年にWebサイト運営者を震撼させた事件は、SQLの脆弱性を狙ったSQLインジェクションによるデータベースの操作でした。これにより大手ショッピングサイトは長期サイトクローズという実質的な損害を被り、加えて顧客の信頼も損失するというダブルの打撃を受けることとなりました。顧客の信頼を回復するためには今までの信頼を構築するよりも大きなエネルギーを要することとなり、決して短期間では事がすまないことは運営者、ユーザ共に強く認識しています。
その他、クロスサイトスクリプティングによる実被害が大きく報道された事も今年のセキュリティ被害の特徴といえます。
2003年度中は、ウィルスやワームの被害について、多くの報道がありました。しかしながら2004年度には大きな被害の実例を耳にすることほとんどありませんでした。これは実質的な被害が少なかっただけに過ぎず、ウィルスの発見報告は2003年度に1万7425件だったのに対し、2004年度の報告件数は5万2151件と増加し、約3倍もの件数となっています。
また、2005年にWebサイト運営者を震撼させた事件は、SQLの脆弱性を狙ったSQLインジェクションによるデータベースの操作でした。これにより大手ショッピングサイトは長期サイトクローズという実質的な損害を被り、加えて顧客の信頼も損失するというダブルの打撃を受けることとなりました。顧客の信頼を回復するためには今までの信頼を構築するよりも大きなエネルギーを要することとなり、決して短期間では事がすまないことは運営者、ユーザ共に強く認識しています。
その他、クロスサイトスクリプティングによる実被害が大きく報道された事も今年のセキュリティ被害の特徴といえます。
; "SQLインジェクションイベント数推移")
図1:SQLインジェクションイベント数推移
クリックすると拡大図が表示されます
クリックすると拡大図が表示されます
<世の中全体が情報漏えいにきわめてシビアに>
ここ数年は、個人情報の扱いにより経営まで揺るがす大きな事件へと発展することが数々起こっています。皆様の記憶にも新しいソフトバンクの個人情報漏えいなどはその一つとなります。
次々に起こる漏洩事件に個人を守るという観点から、本年4 月1 日、個人情報保護法が施行されました。個人情報取扱事業者(従業員などのデータを含めて5,000 件超の個人情報を保有する企業:以下、保護法対象企業)に対して、個人データの漏えいなどについての防止策を講ずることを求めるというものです。もしも、データが外部に漏えいした場合には、企業の社会的信用の失墜につながるだけでなく、法的にも賠償責任など多くの負担が生じることから、企業は否応なく情報セキュリティへの対応を迫られることになりました。これらの要因により、ユーザと個人情報を扱う企業が、ともに個人情報漏えいという言葉に対して神経質になっていると考えられます。
下記は企業の個人情報保護法についてのアンケート結果です。
ここ数年は、個人情報の扱いにより経営まで揺るがす大きな事件へと発展することが数々起こっています。皆様の記憶にも新しいソフトバンクの個人情報漏えいなどはその一つとなります。
次々に起こる漏洩事件に個人を守るという観点から、本年4 月1 日、個人情報保護法が施行されました。個人情報取扱事業者(従業員などのデータを含めて5,000 件超の個人情報を保有する企業:以下、保護法対象企業)に対して、個人データの漏えいなどについての防止策を講ずることを求めるというものです。もしも、データが外部に漏えいした場合には、企業の社会的信用の失墜につながるだけでなく、法的にも賠償責任など多くの負担が生じることから、企業は否応なく情報セキュリティへの対応を迫られることになりました。これらの要因により、ユーザと個人情報を扱う企業が、ともに個人情報漏えいという言葉に対して神経質になっていると考えられます。
下記は企業の個人情報保護法についてのアンケート結果です。
- 個人情報保護法施行についての認知度は93.7%
- 1 万594 社中9,929 社が知っていると回答 (帝国データバンク TDB 景気動向調査より)
; "個人情報保護法施行についての認知度は93.7%")
グラフ1:クリックすると拡大図が表示されます
- 保護法対象企業、69.0%が「対策済み」、「検討予定」含めると97.3%に達する
; "保護法対象企業、69.0%が「対策済み」、「検討予定」含めると97.3%に達する")
グラフ2:クリックすると拡大図が表示されます
個人情報を5,000 件超保有する保護法対象企業は1 万594 社中2,485 社、
「対策をとっている」と回答した企業は2,485 社中1,715 社に合わせ、対策はとっていないが「今後検討する予定がある」とした企業(703 社、同28.3%)を合わせると計2,418 社、全体の97.3%を占めた。(帝国データバンク TDB 景気動向調査より)
「対策をとっている」と回答した企業は2,485 社中1,715 社に合わせ、対策はとっていないが「今後検討する予定がある」とした企業(703 社、同28.3%)を合わせると計2,418 社、全体の97.3%を占めた。(帝国データバンク TDB 景気動向調査より)
; "グラフ3")
グラフ3:クリックすると拡大図が表示されます
既存のセキュリティ対策について
- ファイアウォール普及率
- 2004年7月、総務省「情報セキュリティに関する実態調査結果」によれば既にファイアウォールを導入している企業は90%を超えると報告されています。ファイアウォールの 機能は、組織内外からの通信要求をすべて捕捉し、意図的に通過させたり禁止したりすることによって、必要なサービスだけをユーザに提供しつつ、セキュリティを確保するものです。しかし、Internetのサービスを比較的自由に使えるようにすると、その分安全性は低下し、守れるものが制限されることになります。
- アンチウィルス普及率
- ウィルス対策は95%以上で実施されていると、総務省の「情報セキュリティに関する実態調査結果」で報告されています。しかし同報告で、企業のほぼ97%でウィルス感染を経験しているとあります。
- IDS/IPS普及率
- コンピュータやネットワークに対する不正行為を検出し、通知するためのシステムであるIDS/IPSは、「情報セキュリティに関する実態調査結果」では 21%の普及率のみとされています。しかし、今後の予測では、数年で急速な普及率を遂げ、企業での普及は50%が見込まれます。
十分でないセキュリティ対策
; "サーバ検査結果とWebアプリケーション検査結果の対")
図2:サーバ検査結果とWebアプリケーション検査結果の対比
クリックすると拡大図が表示されます
クリックすると拡大図が表示されます
上図からわかるようにサーバ機器に対するセキュリティ対策に比べ、Webアプリケーションに対しては相対的にセキュリティ対策が不十分な状況です。これらは、Webアプリケーションの脆弱性等が引き起こす脅威についてまだまだ関係者の認識が不足していることにあると考えられます。
最近Webアプリケーションに関する事件が多い理由
ここ数年Webアプリケーションを狙った事件が多発しているのには下記のような理由があります。
- 既存のファイアウォールはポート80番のトラフィックを精査しないので侵入しやすいと考えられます
図3:Webアプリケーションに関する事件が多い理由1
クリックすると拡大図が表示されます - Webアプリケーションは人手が介在することにより「Webアプリケーションのバグ」「設定ミス」など本質的な脆弱性を抱えているケースがほとんどです
図4:Webアプリケーションに関する事件が多い理由2(個人情報漏えい事件の原因別分類)
クリックすると拡大図が表示されます - 開発コスト、短納期、その後の管理/運用が複雑等の理由により、脆弱性を誘発し、セキュア化が難しいと考えられています。実際2004年に実施したWeb アプリケーション検査の結果では、ほとんど全てのWebサイトにおいて何らかの脆弱性が見つかっていると言われています
図5:Webアプリケーションに関する事件が多い理由3(Webアプリケーションの脆弱性検査結果)
クリックすると拡大図が表示されます
; "Webアプリケーションに関する事件が多い理由1")
; "Webアプリケーションに関する事件が多い理由2(個人情報漏えい事件の原因別分類)")
; "Webアプリケーションに関する事件が多い理由3(Webアプリケーションの脆弱性検査結果)")
BIG-IP製品、FirePass、ARX、WANJet およびF5は、F5 Networks, Inc の商標、または登録商標です。
本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。 製品仕様は予告なしに変更される場合があります。
本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。 製品仕様は予告なしに変更される場合があります。