バラクーダ シニアセールスエンジニアの佐藤 栄治氏は、Webアプリケーションにおける脆弱性対策の現状を次のように語る。「先進的なお客様はクロスサイト・スクリプティング(XSS)やSQLインジェクションなどの対応について、必要性を理解され対策を講じています。しかし多くの企業では、ホスティングサービスを利用しているので大丈夫、システム開発ベンダに委託しているので問題が発生すれば責任を取ってくれるなど、他人任せの意識が非常に多くなっています」。

KCCSでは、年間300サイト以上のWebサイトに対して脆弱性診断を実施しているが、依然としてXSSやSQLインジェクションなどの脆弱性が確認されているという。また、KCCS セキュリティ事業部 アセスメント課の小峰 広道は、「Webアプリケーションで脆弱性が発見された場合、本質的な対策はアプリケーション自体の改修です。しかし、発見された脆弱性によっては莫大な費用と膨大な開発工数が必要になる場合があります。そのためセキュリティ対策が、後回しになるのが実情です」と話す。

診断報告書に従い、適切な費用と開発工数をかけてアプリケーションの改修を実施しても再診断により新たな問題が発生することもあるという。「再診断により発見される脆弱性の大半は改修方法の問題や、改修そのものにより発生するケースもあります。そこで当社ではこうした課題を解決するため、Webアプリケーション脆弱性診断とWAFを組み合わせたソリューションを提案しています」と小峰は話す。

KCCSのWebアプリケーション脆弱性診断サービスは、PCで閲覧するWebサイトはもちろん携帯電話やスマートフォン、タブレット端末など、さまざまなプラットフォームで利用するWebサイトの脆弱性を診断するサービスである。セキュリティエンジニアがマニュアル作業で網羅的に実施する診断から、専用のツールを使った診断、傾向を把握するためのポイントを絞った診断まで、利用者のニーズにあわせたサービスを提供する。

小峰は「診断の結果はレポートに纏めてご提出します。レポートには発見された脆弱性の再現方法や改修方法が記載されています。オプションで報告会をご利用いただければ、オンサイトでセキュリティスペシャリストがお客様先に伺い直接レポートの説明と改修のアドバイスをさせていだだきます」と説明する。

またKCCSでは、発見された脆弱性対策の1つとしてWAFを提案し、導入期間の短さや、防御精度において顧客から高く評価されている。 WAFは、ファイアウォールやIPSで防御することのできないWebアプリケーションの脆弱性を悪用した攻撃からWebサイトを守るものであり、Webブラウザ（ユーザ）とWebサーバ間に設置し、通常のリクエストと攻撃を含むリクエスト（XSSやSQLインジェクションなど）を識別し、通常のリクエストのみ通信を許可するソリューションである。

■WAFイメージ