Special Issue

<セキュリティソリューション特集>根強いニーズの「内部統制」 ぜい弱性対策には新しい動き

2009/12/17 19:56

週刊BCN 2009年12月14日vol.1313掲載

京セラコミュニケーションシステム(KCCS)
携帯サイトの脆弱性診断
携帯固有の問題も解決

プラットフォーム
事業本部
技術顧問 徳丸 浩氏
 KCCSは、2004年からPCと携帯向けのWeb脆弱性診断サービスを開始し、これまでに延べ700サイト以上の実績をもつ。とくに携帯サイトの脆弱性診断では、KDDIのEZwebコンテンツ向け認証課金システムの構築・運用経験やサービスプロバイダのサイバードとの共同研究によって蓄積したノウハウを生かし、「携帯固有の脆弱性」への解決策を提供してきた。これまで100サイト以上の診断を実施している。

 携帯サイトでは、以前からPC同様の「クロスサイトスクリプティング」や「SQLインジェクション」といった脆弱性が多く発見されている。また携帯固有の脆弱性として「端末固有ID」を用いた「かんたんログイン」機能によるプライバシー、セキュリティへの懸念や、セッション管理の問題などが原因で偶然なりすましができてしまう「別人問題」の顕在化など、キャリアや機種、世代によってさまざまな問題が起きている。

 KCCSが08年に脆弱性診断を行った44の携帯サイトの結果をまとめたところ、いつ攻撃されてもおかしくない危険な状態のサイトが50%以上に上った。プラットフォーム事業本部技術顧問でWebアプリケーションセキュリティの第一人者でもある徳丸浩氏は、「診断を受けたセキュリティ意識の高い事業者でも、これだけ多くの脆弱性が見つかった。意識の低い事業者のサイトには、より多くの危険があると推測できる。携帯端末もPCと同様、手を抜かずに脆弱性に対応するとともに、携帯固有の問題に対して、診断結果を踏まえたうえでのセキュリティ対策が必要だ」と指摘する。

 KCCSが提供する携帯サイトのWeb脆弱性診断サービスは、携帯端末に偽装したPCから携帯アプリケーションを診断する一般的な脆弱性検査の手法に加え、発見した脆弱性が本当に携帯端末でも起こりうるかを検証。実機での再現確認を行うことで、現実的に起こりうる脆弱性を把握し、優先度をつけた対応方針を提供できるのが特徴だ。主な診断サービス・ラインアップは「Web健康診断プラン」「スタンダードプラン」「アドバンスドプラン」の3サービス。

 Web健康診断プランでは、エンジニアによる主要12項目にしぼったマニュアル診断により、高品質・低価格での診断が可能となる。Webサイトの脆弱性傾向を把握し、より精密な診断を実施すべきかどうかの判断材料にできる。

 スタンダードプランでは、全画面でマニュアルと専用ツールによる診断を実施。ネットワーク診断と併せて結果をレポーティングする。また、アドバンスドプランでは、ソースコード解析を用いて、潜在する脆弱性を可視化できる。

 携帯サイトの脆弱性をなくすためには、各キャリアの公開する仕様を、きちんと情報収集しておくことも重要になる。KCCSでは「でき上がったサイトの診断だけでなく、その前段階で、キャリアの仕様やセキュリティの教育にフォーカスしたサービスを提供したい」(桑原貴志・プラットフォーム事業本部セキュリティ事業部長)と、新しいメニューの体系化にも力を入れる。




京セラコミュニケーションシステム(KCCS)=http://www.kccs.co.jp/

関連記事

<セキュリティソリューション特集>中小企業でセキュリティの重要性増す

<セキュリティソリューション特集>セキュリティは衰えず 不況下でニーズ高まる(上)