ディレクトリ チャンネル vol.27
「まず、Webアプリケーションの開発は比較的容易なため、開発者が未熟なケースがある。その反面、異なる複数の技術を組み合わせなければならないので脆弱性が生まれやすい」。例えばパッケージ製品であれば、ある程度整った体制にて開発され、定期的にバージョンアップなども行われるため、そのタイミングで脆弱性が修正されることが多い。一方、企業ごとに個別開発されるWebアプリケーションは定期的なパッチが配信されることもなく、脆弱性が気づかれずに放置される可能性が高いのである。 同氏はさらに「ネットワークを通じて全世界に公開されたWebサイトは攻撃者にとっても狙いやすいもの。一般にも広く利用されているため、セキュリティ事件が起きたときの社会的影響が大きい」と述べる。 IPAへの脆弱性関連情報の届け出件数を見ると、特に多いのはクロスサイトスクリプティング(XSS)脆弱性とSQLインジェクション脆弱性だが、Webアプリケーションの脆弱性はこれだけではなく、開発者としては、この2つ以外にも対策方法を知っておかなければならないという。 とはいえ、非常に種類が多く細分化された脆弱性を総合的に学ぶには、あちこちから断片的に情報を集めてこなければならず、大変というのが開発者の本音ではないだろうか。 そこで同氏が提唱するのが、侵害パターンによる「5+1の類型」だ。Webアプリケーションの侵害パターンは、その脆弱性の性質によって異なる。同氏はそのパターンから脆弱性を「暴露問題」「エコーバック問題」「入力問題」「セッション問題」「アクセス制御問題」の5種類と、それらどれにも含めることのできない「各種の問題」に分類し、「こうすることで脆弱性を体系的に把握することが可能になり、対策の検討もしやすくなる」としているのだ。