情報セキュリティマネジメント試験 平成29年秋(2017)午後 ②WebサービスWebアプリ開発委託

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  • 安全なウェブサイトの作り方
  • Web サイト作りをするときに対処しないと行けない攻撃手法と対処方法など
  • パスワードリスト攻撃、SQL インジェクション、クロスサイトスクリプティング、OS コマンドインジェクションなどの攻撃について知る。
  • WAFについて



はじめに、架空の会社の X 社の説明

P 社は、従業員数 1,200 名の大学受験及び高校受験のための大手予備校である。先日開催した経営会議おいて、次年度から中学校受験向けコースの事業部(以下、C 事業部)を新たに立ち上げることが決まり、現在、開講に向けたて準備作業を進めている。C 事業部は、マーケティング部で、市場調査、広報活動、外部公開のWebサービス企画、導入、運用など担当している。

情報セキュリティの重点方針

現在、P 社の CISO は、個人情報の漏洩防止と Web サービスの継続性確保の2つを重点方針として定めている。

Webサービス仕様

模擬試験の結果の速報、成績推移などを、P 社の中学受験向けコースに通う児童、及び児童の保護者が閲覧できるようにログイン機能を有した Web サービスを Web アプリケーションソフトウェアとして開発し、提供することを検討している。これをマーケティング部の N さんが担当し Wサービスの仕様案をまとめた。

W サービスの仕様書

情報セキュリティリーダの S 主任は、上記の仕様案では、ブルートフォーカス攻撃のリスクが大きいですね。又、児童たちは専用のパソコンは持たないし、学校などでは共有の PC を使用するのでログアウトを忘れることもあるので閲覧リスクが大きい。と思い、2 つの事を変更、追加するように指示した。

①ブルートフォース攻撃のリスクを低減するために、児童用のパスワードを数字 4 桁から英数記号 8 文字以上に変更する。又、ログイン失敗時のアカウントロック時間を 1 分から 60 分に変更するなど、認証機能の仕様を変更する。

②共有 PC における閲覧リスクを低減するために、ログイン状態をタイムアウトさせる機能の追加など行う。

委託仕様書の検討

近年、SQL インジェクションやクロスサイトスクリプティング、クローラへの耐性など脆弱性をついた攻撃が増えているので、Webアプリの開発を外部に委託するにあたり IPA が公開している「ウェブ健康診断仕様」を参考にした。

試験問題には、工番 1 と 2 の能動的/受動的や、工番 7 の診断項目名が問題に出ています。

上記の脆弱性の対処と情報セキュリティを向上させる上で有効かつ適切な事項として、開発を進めていくうちに、追加のセキュリティ対策が発生した場合、委託元に提案する。再委託先も含めたセキュアな開発体制を委託元に説明すること。脆弱性の観点からセキュリティ試験結果を委託元に成果物として納品すること。納品後のセキュリティに関するサポート方法と費用負担を、委託元に説明すること。などを含めた委託仕様書を作成した。

脆弱性診断結果

3 か月後開発された Web アプリを Y 社に脆弱性診断を依頼した。Y 社の情報処理安全確保支援士が危険度基準と総合判定基準を下記のように提出した。

危険度基準

総合判定基準

Y 社では、OS コマンドインジェクションの脆弱性が 1 件 検出されたので、総合判定所見は要治療・精密検査(優先度:高)であった。

WAF を使って、パラメータ操作による攻撃など防御することも出来ます。ただし、認証やセッション管理の不備を悪用する攻撃もあるので防御できない攻撃もあり、WAF は Web アプリに対する攻撃のリスクを低減するための対策と考えたほうがいいでしょう。

WAF は、Web アプリの改修が完了するまでのリスク対応の観点から暫定的に活用することにします。又、WAF は、Web アプリ改修期間中のサービスの中断を回避することもできるメリットがあるので導入を決定した。

児童や保護者には、パスワードリスト攻撃の注意喚起を行うため、他のサイトと同じ利用者 ID とパスワードを使わないことを分かりやすい情報セキュリティのしおりを作成し、配布することにしました。

W サービス開始とその後

W サービス提供開始後に新たな脆弱性が発見される可能性、及び P 社の情報セキュリティの重点方針を実現する上で WAF 導入したことによって、Web アプリ改修期間中にサービスの中断を回避することができるメリットを説明した。

パスワードリスト攻撃などによる不正ログインの発生状況に利用者側でも気付くための機能としてログイン履歴を表示するようにした。

以上で、C 事業部の W サービスは予定どおりサービスを提供開始した。



関連する用語

ブルートフォーカス攻撃
特定の文字数および文字種で設定される可能性のあるすべての組合せを試すことでパスワードの不正取得を試みる攻撃手法。

SQL インジェクション
Web ページの入力フォームに不正な文字列を入力して、その文字列から生成された SQL 文を不正なものにしてデータベースの内容を閲覧したり、データを削除する攻撃

クロスサイトスクリプティング
攻撃者が罠を仕掛けたWebページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに,不正スクリプトを含む文字列が脆弱なWebサーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす。

OS コマンドインジェクション
外部からの攻撃により、WEBサーバーのOSコマンドを不正に実行されてしまう脆弱性を狙った攻撃になります。

WAF
Webサイトに対するアクセス内容を監視し,攻撃とみなされるパターンを検知したときに当該アクセスを遮断する

クローラへの耐性
クローラとは、Google などの検索エンジンがインターネット上の Web ページを自動巡回して、その内容を収集するプログラムです。クローラによるアクセスでは、同じWeb サーバー上の複数の Web ページを連続的にアクセスするのでサーバやネットワーク機器の処理性能が非常に低いとアクセスに耐えられず応答時間が長くなったりし、最悪の場合 Web サーバーが停止したりする。

安全なウェブサイトの作り方



学習の確認

  • 安全なウェブサイトの作り方
  • Web サイト作りをするときに対処しないと行けない攻撃手法と対処方法など
  • パスワードリスト攻撃、SQL インジェクション、クロスサイトスクリプティング、OS コマンドインジェクションなどの攻撃について知る。
  • WAFについて