PR

 3月12日,Webアプリケーションのセキュリティに関する情報共有などを目的とする団体「Web Application Securityフォーラム」(略称WASフォーラム)が設立された。

WASフォーラム設立セミナー
 「約6割に個人情報漏えいなどにつながる致命的なWebアプリのセキュリティ・ホールがあった。残る4割にもほとんど何らかの欠陥があり,安全なサイトは6~7%しかなかった」(Web Application Security フォーラム実行委員 三井物産 情報産業本部 ITサービス事業部 セキュリティビジネス質 マネージャ 新井一人氏)。

 Webアプリケーションには,なりすましや個人情報の漏えいなどにつながるセキュリティ・ホールが存在するケースが多い。2004年2月には,財団法人コンピュータソフトウエア著作権協会(ACCS)が運営するサイトのWebアプリケーション(CGI)のセキュリティ・ホールにより個人情報を引き出した男性が逮捕されている(関連記事)。

 Webアプリケーションのセキュリティ・ホールには,クロスサイト・スクリプティングやSQLインジェクションなど,多くの種類が存在し,同フォーラムではこういったセキュリティ・ホールに関する情報共有などを行うことで,Webサイトの安全性向上を目指す。個人会員の会費は無料とする。

 具体的な活動としては,Webサイトでの情報提供,イベントの開催を行う。イベントとしては年2回の公開セミナーと年1回のカンファレンスを予定している。またWebアプリケーションのセキュリティに関する書籍の発行も計画している。

 奈良先端科学技術大学大学院 助教授の門林雄基氏,独立行政法人 産業技術総合研究所 グリッド研究センター セキュアプログラミングチーム長 高木浩光氏,テックスタイル 代表取締役社長 岡田良太郎氏が発起人となり設立を呼びかけた。オブザーバーとして経済産業省 情報セキュリティ実行委員として三井物産,ソフテック,ディアィティ,テクマトリックス,日立ソフトウェアエンジニアリング,日商エレクトロニクスが参加している。

左から奈良先端科学技術大学門林氏
産業技術総合研究所 高木氏
テックスタイル 岡田氏
米NetContinuum Kurt Romer氏
 フォーラムの基調講演で奈良先端科学技術大学の門林雄基氏は「セキュリティ確保のためには,短期的には検査という方法もあるが,本質的には『誰もが安全に作れる方法論』が必要」と指摘。

 産業技術総合研究所の高木氏は「Webアプリケーションは,セキュリティ・プロトコルをその都度設計しているようなもので,欠陥が生まれてしまう可能性が高い」と警鐘を鳴らし,「Webアプリ開発技術者は広範に存在するため,ベンダー内部での解決は困難。公開主義とせねば解決のしようがない」と情報共有が重要であると述べた。

 テックスタイルの岡田氏は「現場である民間がどう行動していくかが本質的な問題」と述べ,情報交換など,民間主導の活動が必要になると指摘した。

 パネル・ディスカッションでは「安全なサイトを作りたくとも,何をどこまで行うべきかが難しい。発注者側がセキュリティをどう要件として定義するかも難しい。何らかのガイドラインやチェックリストのようなものが必要ではないか」といった提言が行われた。

 米国では,2004年2月にWebアプリケーション・セキュリティに関する団体WASC(Web Application Security Consortium)が設立されている。WASCは,アプリケーション開発やセキュリティ評価のための標準の確立などを目的とする(関連記事)。
(高橋 信頼=IT Pro)