2005-04
23
01:15:00
残されたセキュリティ・パーツ -Webアプリの脆弱性-


ITmediaから
F5 Networks、後からの修正が面倒なWebアプリのセキュリティに「包括的に対応」
パンコティン氏に指摘してもらうまでもなく、Webアプリケーションにおけるセキュリティ脆弱性はそのアプリケーションの数だけ存在する訳で、但しその観点からはこうしたアプライアンスによるアプローチは惹かれるものもあります。
IPA(独立行政法人 情報処理推進機構)とJPCERT/CCに寄せられたWebアプリケーション(一般に公開されているパブリックなサービス)の脆弱性情報の2005年第1四半期(1月~3月)の届出情報によれば71件だそうで、日に0.8件の割合で報告されたことになります。これはもちろん届けられた分でしかないので、隠されていたり見つかっていない分も含めるとかなりの件数に上るであろうことは容易に想像が付きます。
これはすなわち元々Webアプリケーションとは何も考えずに開発すればほとんどの場合脆弱性を持つこと、これらの脆弱性は結局開発者の人為的なミスに起因すること、だからこそこうしたソリューションがメリットを持つようには見えます。
尤も、どのようなアプライアンスであろうとパターンマッチングでしか無いことは間違いないので効果の程にも疑問は残ります。しかし果たしてこれがほぼ確実に動作するとしても、現時点で手放しで受け入れるべき手法なのかどうか、もう一度考えてみる必要がありそうです。


いかにして脆弱性を持たないWebアプリケーションを開発するかという手法は既に何年も前から何度と無く語られ尽くしてきました。
なかでも有名かつ現時点でも有効なのが、高木先生が公表されている「安全なWebアプリ開発 31箇条の鉄則」資料でしょう。
これが未だに有用な資料足りえるというのは結局のところWeb技術は本質的にはこの数年でもそれほど進歩していないことの証左でもあったりする訳ですが、この「鉄則」自体はよくよく読めばそれほど難しいものでも何でもありません。一度読んでしまえば丸覚えする気が無くとも、何となく記憶に残って必要な時に思い出せるようなことです。
上記はまさしく「ルール」としてまとめたものではあるのですが、一方で見方を変えると「Webアプリケーションというのはどうしてもこうした動作になってしまうものなんだよ」という諦めにも似たところからの発想だったりもします。
これはつまりWebアプリケーションの本質を開発者自身が如何に理解出来ているか如何に関わっている、とも言えるでしょうか。
だとするとこれは開発者それぞれに「あなたは本質的に開発者足りえるか」を突き付けられている問題でもあります。
というところまで考えると、アプライアンスであってもどこかのコンサルタントからのセキュリティに対するお墨付きでもよいのですが、そんな本質的な部分を他人任せにしてそれでよいのか?もしも近頃のセキュリティ対策がお手軽傾向に向かっているような気もして、何やら寒々しいものも感じます。
# 考えすぎ、と言われるのも承知の上ではあるのですが、それでも、ね。
ということで、こうした魔法の如く(?)便利そうな機能は、最後の最後の砦としておくのが皆にとって一番ハッピーなはず、としておきたいものです。

コメントを残す

メールアドレスが公開されることはありません。

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください