Scan Incident Report Vol．037〜040

出版社/著者からの内容紹介
　【Scan Incident Report】は、情報漏えい、クロスサイトスクリプティング脆弱性、Ｗｅｂ改ざん、ウイルス送信など、ネットワーク上で起こった事件を検証し、そのレポートを掲載する、事件情報に特化したメールマガジンです。その他、インターネット関連の規格・法制度、企業の対応法などを、過去の事例とともにご紹介しています。今回は、2003年１月の本誌バックナンバーVol.037〜Vol.040を掲載します。

抄録（「電子書店パピレス」より）
　◇◆◇━━━━━━━━━━━━━━━━━━━━━━━━━━━━━◇◆◇
　　　　　　　　　Webアプリケーション セキュリティ ガイド
　◇◆◇━━━━━━━━━━━━━━━━━━━━━━━━━━━━━◇◆◇

　＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　　　　　　　 ■第1回■ Webアプリケーションの脅威
　＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

　1.　はじめに

　Webアプリケーションには多種多様なセキュリティホールが潜んでいる可能性がある。実際に万全のセキュリティが求められている金融機関で顧客情報の漏えいや口座情報の改ざんなど、企業の信頼性に重大な損害を及ぼした例も報告されている。アプリケーションのセキュリティホールが利用され不正侵入されると、顧客データなどの機密情報の盗用やサイトを破壊される危険性が極めて大きい。
　これまでセキュリティに関する書籍では、デスクトップのウィルス対策、通信の暗号化技術、ファイアウォールの構築などのネットワークセキュリティが主流であった。本文ではWebアプリケーションのセキュリティにフォーカスし、脅威の存在や問題の原因を述べ、解決案としての製品を紹介する。

　2.　Webアプリケーションの脅威

　Webの悪用は次の10パターンに代表されている（図1）が、これらはアプリケーションの設計や開発のミス、開発作業上の不手際などが原因となっていることが多い。開発者のセキュリティに関する認識不足、スキル不足が結果としてWebの悪用を助長している。バッファオーバーフローのような入力データのチェック漏れやデバッグオプションの利用のような開発作業上の不手際などが、それにあたる。従来のファイアウォールやIDS（侵入検知システム）はアプリケーションセキュリティを考慮に入れて設計されていないため、少なくとも現状はアプリケーションレベルの攻撃を防御できない。