情報セキュリティマネジメント試験 ②WebサービスWebアプリ開発委託    平成29年秋(2017)

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  • パスワードリスト攻撃、SQL インジェクション、クロスサイトスクリプティング
  • OS コマンドインジェクションなどの攻撃について知る。
  • WAFについて
  • 安全なウェブサイトの作り方
  • Web サイト作りをするときに対処しないと行けない攻撃手法と対処方法など

はじめに架空の会社の X 社の説明

P 社は、従業員数 1,200 名の大学受験及び高校受験のための大手予備校である。先日開催した経営会議おいて、次年度から中学校受験向けコースの事業部(以下、C 事業部)を新たに立ち上げることが決まり、現在、開講に向けたて準備作業を進めている。C 事業部は、マーケティング部で、市場調査、広報活動、外部公開のWebサービス企画、導入、運用など担当している。

情報セキュリティの重点方針

現在、P 社の CISO は、個人情報の漏洩防止と Web サービスの継続性確保の2つを重点方針として定めている。

Webサービス仕様

模擬試験の結果の速報、成績推移などを、P 社の中学受験向けコースに通う児童、及び児童の保護者が閲覧できるようにログイン機能を有した Web サービスを Web アプリケーションソフトウェアとして開発し、提供することを検討している。これをマーケティング部の N さんが担当し Wサービスの仕様案をまとめた。

W サービスの仕様書

1.サービスメニュー
(1)模擬試験の結果速報
(2)成績推移
(3)料金の自動引落明細

認証機能
(1)ログイン
任意に設定できる英数字の利用 ID と数字 4 桁の児童用パスワードを使用てログインする。
(2)アカウントロック
5 回連続してログインに失敗すると、1 分間、アカウントをロックする。
(3)保護者用パスワードによる追加ログイン
料金の自動引落明細メニューにアクセスするためには英数記号 8 文字以上の保護者用パスワードによる追加ログインを必要とする。
(4)ログアウト
ログアウトボタンをクリックするとログアウトする。クリックしない限り、ログインしたままとする。
(5)パスワードの表示
児童用パスワードも保護者用のパスワードも、パスワード入力内容の表示、非表示を切り替えられるようにする。初期状態は、非表示とする

情報セキュリティリーダの S 主任は、上記の仕様案では、ブルートフォーカス攻撃のリスクが大きいですね。又、児童たちは専用のパソコンは持たないし、学校などでは共有の PC を使用するのでログアウトを忘れることもあるので閲覧リスクが大きい。と思い、2 つの事を変更、追加するように指示した。

①ブルートフォース攻撃のリスクを低減するために認証機能の仕様を変更する。
②共有 PC における閲覧リスクを低減するために機能を追加する。

委託仕様書の検討

近年、SQL インジェクションやクロスサイトスクリプティング、クローラへの耐性など脆弱性をついた攻撃が増えているので、Webアプリの開発を外部に委託するにあたり IPA が公開している「ウェブ健康診断仕様」を参考にした。

上記の脆弱性の対処と情報セキュリティを向上させる上で有効かつ適切な他の事項として下記項目も含めた委託仕様書を作成した。

  1. 開発を進めていくうちに、追加のセキュリティ対策が発生した場合、委託元に提案する。
  2. 再委託先も含めたセキュアな開発体制を委託元に説明すること。
  3. 脆弱性の観点からセキュリティ試験結果を委託元に成果物として納品すること。
  4. 納品後のセキュリティに関するサポート方法と費用負担を、委託元に説明すること。

脆弱性診断結果

3 か月後開発された Web アプリを Y 社に脆弱性診断を依頼した。Y 社の情報処理安全確保支援士が危険度基準と総合判定基準を下記のように提出した。

危険度基準

総合判定基準

Y 社では、OS コマンドインジェクションの脆弱性が検出されたので、総合判定所見は要治療・精密検査(優先度:高)であった。

WAF を使って、パラメータ操作による攻撃など防御することも出来ます。ただし、認証やセッション管理の不備を悪用する攻撃もあるので防御できない攻撃もあり、WAF は Web アプリに対する攻撃のリスクを低減するための対策と考えたほうがいいでしょう。

WAF は、Web アプリ N 改修が完了するまで情報セキュリティ委員会によるリスク対応の観点から暫定的に活用することにします。又、WAF は、Web アプリ改修期間中のサービスの中断を回避することもできるメリットがあるので導入を決定した。

パスワードリスト攻撃については、児童や保護者に対する注意喚起を行うため、他のサイトと同じ利用者 ID とパスワードを使わないことを児童にも分かりやすい情報セキュリティのしおりを作成し、を記述して配布することにした。

W サービス開始とその後

W サービス提供開始後に新たな脆弱性が発見される可能性、及び P 社の情報セキュリティの重点方針を実現する上で WAF によって期待できる上記の Web アプリ改修期間中のサービスの中断を回避のメリットを説明した。

パスワードリスト攻撃などによる不正ログインの発生状況に利用者側でも気付くための機能としてログイン履歴を表示するようにした。

以上で、C 事業部の W サービスは予定どおりサービスを提供開始した。

学習の確認

  • パスワードリスト攻撃、SQL インジェクション、クロスサイトスクリプティング
  • OS コマンドインジェクションなどの攻撃について知る。
  • WAFについて
  • 安全なウェブサイトの作り方
  • Web サイト作りをするときに対処しないと行けない攻撃手法と対処方法など

関連する用語

ブルートフォーカス攻撃
特定の文字数および文字種で設定される可能性のあるすべての組合せを試すことでパスワードの不正取得を試みる攻撃手法。

SQL インジェクション
Web ページの入力フォームに不正な文字列を入力して、その文字列から生成された SQL 文を不正なものにしてデータベースの内容を閲覧したり、データを削除する攻撃

クロスサイトスクリプティング
攻撃者が罠を仕掛けたWebページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに,不正スクリプトを含む文字列が脆弱なWebサーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす。

OS コマンドインジェクション
外部からの攻撃により、WEBサーバーのOSコマンドを不正に実行されてしまう脆弱性を狙った攻撃になります。

WAF
Webサイトに対するアクセス内容を監視し,攻撃とみなされるパターンを検知したときに当該アクセスを遮断する

クローラへの耐性
クローラとは、Google などの検索エンジンがインターネット上の Web ページを自動巡回して、その内容を収集するプログラムです。クローラによるアクセスでは、同じWeb サーバー上の複数の Web ページを連続的にアクセスするのでサーバやネットワーク機器の処理性能が非常に低いとアクセスに耐えられず応答時間が長くなったりし、最悪の場合 Web サーバーが停止したりする。

安全なウェブサイトの作り方