ガートナーのアナリストに聞く--Web 2.0アプリケーションとセキュリティ

文:Nick Gibson(Builder AU)  翻訳校正:編集部 2007年12月05日 08時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 Gartner ITExpoでセキュリティアナリストのAndrew Walls氏にインタビューを行い、Web 2.0がアプリケーションのセキュリティに与える影響について聞いた。

 Walls氏は、従来のデスクトップのセキュリティ対策がWeb 2.0の世界ではどのように不十分なのかについて説明し、開発者が自分の書いたコードのセキュリティについてより個人的な責任を負わなくてはならないと話した。

――インターネット上のアプリケーションにとって最大の脅威を挙げるとすれば何ですか。

 人間です。これは少し単純すぎ、冗談のようにも聞こえることは分かっていますが、結局のところは常に人間のアプリケーションの使い方、データの使い方の問題に至ります。すべての人が正直で、信頼に足り、本物であれば、セキュリティの問題は起きません。しかしセキュリティビジネスの世界では、誰もが嘘をつこうとしており、不正直で、金を巻き上げようとしているという現実的な仮定を置き、アプリケーションをできる限り安全なものにしようとしています。

 Web 2.0の世界で、マッシュアップやウェブ上のアプリケーションについてわれわれが扱っている問題の多くは、実際にはセキュリティとアプリケーション開発の場面で昔からある問題です。入力データは検証する必要があります。例えばウェブページのフォームのフィールドに入力される情報が有効なデータであり、システムに入力したいと思っている情報であることを確認しなくてはなりません。そしてもちろん、そのシステムから出力されるデータが、出したいものであるということもです。

 この基本的なルールを無視するシステムは、リスクを抱えています。2カ月ほど前、(オーストラリアの)首相のウェブサイトがハックされて大騒ぎになったのを覚えていますか。あれは標準的なフォームからデータを入力させる際、入力を検証していないことが原因の、古典的なJavaScript攻撃でした。これはよくある形の攻撃の1つですが、こういうことがまだ存在するということ自体が問題なのです。開発者の世界は、すべての入力と出力を検証し、またシステム上でやりとりされるすべてのデータにはっきりした境界線を設けるということを十分やってきていません。

 基本的に、これらの問題は人間が原因で起こります。システムは人間に言われたことを何でもやりますが、攻撃をするのも、そこにあるものの制御をハックするのも人間なのです。最大の問題は常に人間自身にあります。

――この問題は、企業にはきちんと理解されているのですか。

 企業という言葉が何を意味するかによります。今はITExpoに出席していますが、このフロアにいる企業はすべて非常によく理解しています。しかしもちろんこれらの企業はITを専門にしており、彼らはセキュリティについて常に扱っています。一方で銀行や自動車メーカーの場合、それらの組織の企業リーダーと話しても、彼らは私が話したデータの検証のことのような細かいことについては理解していません。理解しているべきでもありません。彼らが理解すべきなのは、セキュリティの問題を処置せず、管理しないままにしておくと、彼らの企業にどのような影響があるかということです。彼らはセキュリティ管理者やプロフェッショナルを雇い、彼らの代わりに面倒を見させるでしょう。

 セキュリティ管理者は、それらの技術上およびセキュリティ上のリスクを、ビジネスの言葉やビジネスリスクに翻訳できなくてはなりません。そうすれば、企業リーダーは彼らの企業に関して情報に基づいて判断することができます。彼らは特定の問題については知る必要はありません。それはセキュリティ管理者の仕事です。企業リーダーは最適な判断ができるよう、情報を知らされ、本当のデータを持っていなくてはなりません。

――デスクトップアプリケーションに対して取られていたアプローチは、どの程度ウェブでも利用できるのですか。

 これら2つはうまく対応しません。まずデスクトップのセキュリティはうまく行っておらず、今でも多くの変更が行われており、われわれがデータ漏えい対策と呼ぶ、完全に新しい種類の製品が出始めています。これは、USBメモリへのデータ移動やCDへのコピーなどを対象にしています。これはID管理や、人間に強い認証トークンを持たせるいったことを超えた問題を扱っており、データがどのようにシステムを移動し、その情報をどう正しく管理するかということを対象にしています。

 もしクレジットカード情報がネットワークや誰かのラップトップやUSBメモリ経由で自分のシステムの外に出るのを止めたいと思えば、クレジットカード番号がどのような形をしているかを知っており、それが間違った場所に移動されようとしているのを発見した場合どう処理したらいいかを知っているソフトウェアを持たなくてはなりません。これは、現在人気のあるほとんどのデスクトップセキュリティ環境の仕事を超えています。このため、これらの新しい製品が生まれようとしているのです。デスクトップはわれわれがそうあって欲しいと考えるほどは安全ではなく、今でもデスクトップとラップトップ側には大きな改善の余地があります。

 さらに、Web 2.0環境のような、新しいアプリケーション環境があります。WestpacのDavid Backley氏の素晴らしい発表では、Westpac内でFacebook型のソーシャルネットワーキング環境を使ってどのように協調活動やチームワークを促進しているかについて示されており、Second Lifeのような仮想世界も同様のものとして見られています。この種の大規模な分散ネットワーク環境に依存する新しいアプリケーションは、あらゆる種類の新しいセキュリティリスクを持ち込みます。

 このセキュリティリスクは、そのアプリケーションの種類――それが仮想世界、ソーシャルネットワーク、ブログなど何であろうと――を分解して、それを構成するコンポーネントを見れば、他のアプリケーションと違いはないというのが私の主張です。それらのアプリケーションはAJAXや新しい形のHTMLなど、少し新しい言語を使っているかも知れませんが、それらもやはり言語であり、同じ問題を抱えています。これは検証と、コードが変更されていないことを確実にすることであり、同じ基本的なことです。

 Web 2.0の新しい環境で、われわれがみな取り組んでいる問題は、それらのコンポーネントがそれだけでは存在できないということです。Web 2.0アプリケーションは多くの場合、1つの形に収まったワープロのソフトを手に入れるというようなものではなく、何十もの個別のコンポーネントから作られています。これらのコンポーネントは異なる企業のものであるかもしれず、内部で開発された自前のものかも知れません。ネットワークのセキュリティを確保するためには、それらすべてのコンポーネントのセキュリティを確保する必要があります。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]