Web担のセキュリティ診断を受けてみた

Web担の場合、深夜に「明日以降のいつでも診断お願いします」と送信したところ、翌日少し遅めの昼過ぎに出社するとすでに診断が終了していて、その日の夜には診断書がメールで届きました。早い！

報告書と報告会

結論としては、Web担のサイトでは、SQLインジェクションのような、すぐに情報を抜き出したりされるような脆弱性は見つかりませんでした。ただ1か所、XSS（クロスサイトスクリプティング）の対処が漏れている部分がありました。

報告書には、診断結果と、診断項目に関する解説や対策方法の概要などが書かれているため、エンジニアが読めばどう修正すればいいかわかる内容になっています（レポートを見て修正方法が見えないエンジニアはヤバいです）。

報告書の内容に従って内部や取引先の開発者に対応を依頼するのが筋ですが、場合によってはラックさんに対応をお願いすることも可能とのこと。また、完了後のタイミングで改めてセキュリティ診断を依頼することも可能とのこと（「初診」じゃなくても大丈夫）。

今回は報告会までお願いしたのですが、報告会はインプレスの会議室で1時間程度。診断結果に関する簡単な解説と、対処方法の概要や昨今のセキュリティ事情を説明していただきました。

ラックさんによると、XSSを利用した大規模なセキュリティ事故は発生していないため、重要なぜい弱性かどうかに関しては議論があるとのこと。ぜい弱性を突く形でデータを含ませたリンクをメールや掲示板などでクリックさせるワンクッションが必要な場合はなおさらで、今回Web担で発見されたものも、そういった類の問題。

とはいえ、だれかが結果として問題のあるURLにアクセスさせられる可能性はゼロではありませんし、そうでなくても第三者がブログで「このサイトにセキュリティの穴がある」と書いてしまうような形での風評被害が考えられるため、有名サイトやメールマガジンの購読者数が多い媒体などではしっかりと対策しておいたほうがいいとのこと。

今回XSSのぜい弱性が発見されたのは海外のオープンソースソフトウェアだったため、ラックさんのアドバイスに従って、IPA（独立行政法人 情報処理推進機構）に届出をしました。

Web担当者のセキュリティ認識、どうあるべきか？

今回の報告会では、株式会社ラック　サーバーリスク総合研究所　取締役 所長の西本 逸郎氏がお話しくださいました。

ラックさんによると、この「Webセキュリティ診断サービス・初診コース」は、主に、インターネット側から目にとまるもの、悪意をもった人間が狙いやすいところにフォーカスするもの。