Webアプリケーション開発のセキュリティ対策【情報処理安全確保支援士試験 平成29年度 秋期 午後1 問2 設問3】
情報処理安全確保支援士試験 平成29年度 秋期 午後1 問2 設問3
問2 Webアプリケーション開発におけるセキュリティ対策に関する次の記述を読んで、設問1〜3に答えよ。
(略)
〔Wシステムの概要〕
Wシステムの開発は、役員T氏とシステム担当のK氏が行っている。T氏がアルゴリズムなどの基本的な仕様を決め、K氏が、Java、サーブレットや開発フレームワークなどを用いて開発している。また、ブラウザ側での機能性向上のためにJavaScriptも用いている。開発はK氏が管理するPC(以下、開発用PCという)上で行い、完成したプログラムをシステム管理者のF氏が本番システムにデプロイし、運用している。
(略)
〔Wシステムの実装に関する脆弱性〕
A社では、Wシステムのセキュリティ検査を、あらかじめ定められた手順に従いK氏がブラウザを用いて手動で実施している。しかし、昨今の他社のセキュリティインシデント増加を受け、念のために、先月実施した社内のセキュリティ検査とは別に、今月になり初めて、外部の専門家にセキュリティ検査を依頼することにした。そこで、セキュリティ専門会社L社の情報処理安全確保支援士であるN氏が、Wシステムのセキュリティ検査を担当することになった。
まず、N氏が脆弱性検査ツールを使って本番システムを検査したところ、図1のJavaコードで書かれたサーブレットSearchServletに、SQLインジェクション脆弱性及びクロスサイトスクリプティング(以下、XSSという)脆弱性があることが判明した。
(略)
今回指摘された脆弱性は、検査すべき項目の中に含まれており、K氏によるブラウザを用いた手動のセキュリティ検査によって発見され、開発用PC上のコードでは先月に修正されていた。しかし、K氏からファイルを受け取ったF氏が、本番システムに修正版をデプロイし忘れたので、本番システムに脆弱性が残存したままとなっていた。
(略)
〔脆弱性対策の強化〕
脆弱性が残存した原因も踏まえ、脆弱性対策の強化として、次のとおり提案と指摘をN氏は行った。
・変更管理プロセスを改善すべきである。
・③脆弱性検査手順を改善すべきである。
③について、どのように改善すべきか。改善された検査手順を述べよ。:セキュリティ検査を本番システムに対し行うこと
現状の脆弱性検査手順は、「Wシステムのセキュリティ検査を、あらかじめ定められた手順に従いK氏がブラウザを用いて手動で実施している」とあり、K氏によって実施されています。
その結果、「今回指摘された脆弱性は、検査すべき項目の中に含まれており、K氏によるブラウザを用いた手動のセキュリティ検査によって発見され、開発用PC上のコードでは先月に修正されていた」とあるように、既にK氏によって発見され、開発用PC上では修正されています。
問題だったのは、「しかし、K氏からファイルを受け取ったF氏が、本番システムに修正版をデプロイし忘れたので、本番システムに脆弱性が残存したままとなっていた」とあるように、本番システムに反映されていないことです。
ブラウザでの手動の検査と本番システムの検査の違いがいまいち不明で、悩みますが、どう改善すればいいのかについては、セキュリティ検査をブラウザではなく、直接、本番システムに対して行うことを回答すればよさそうです。
・K氏によるブラウザを用いた検査には問題がある。WシステムにXSS脆弱性があったとして、適当な検査用文字列を入力しても、④一部のブラウザではXSS攻撃の試みを完遂できないことがある。
④について、XSS攻撃の試みを完遂できないことがある理由を述べよ。:ブラウザによってはXSS攻撃を遮断する機能をもつから
ブラウザのセキュリティ機能では、汎用的な攻撃を遮断する機能を持っています。XSS攻撃に対してもその遮断機能により、攻撃を完遂できないことがあります。
・S社のクラウド型WAFサービス(以下、Sサービスという)を導入することを推奨する。Sサービスでは、Webシステムに脆弱性が発見された際、短時間で適切なシグネチャがWAFに追加される。したがって、Sサービスを利用していれば、WAFを利用せずにWシステムを改修するケースと比較して、⑤Webアプリケーションサーバへのリスクの低減を期待できる。
⑤について、低減できるリスクを述べよ。:Wシステムで当該脆弱性に対処する前に始まる攻撃によって、セキュリティ侵害されてしまうリスク
Sサービスの特徴は、短時間で適切なシグネチャが適用できることです。
これに対し、現状の運用の場合には、「Wシステムのセキュリティ検査を、あらかじめ定められた手順に従いK氏がブラウザを用いて手動で実施している」とあるように、ある程度、既知の脆弱性しか検知することができず、最新の脆弱性に対する対処が遅れる可能性があります。
Sサービスにより、Wシステム側の脆弱性への対処が完了していない期間でのリスク低減をはかることができそうです。
A社では、N氏のこららの提案と指摘を検討し、適切に対処することにした。
【出典:情報処理安全確保支援士試験 平成29年度秋期午後1問2(一部、加工あり)】