WASForum Conference 2008: Webセキュリティのマルプラクティス – 思い込みによるソフトウェアエラーをなんとかしろ
2008年7月5日(土曜日)
WASForum Conference 2008: Webセキュリティのマルプラクティス – 思い込みによるソフトウェアエラーをなんとかしろ
法律っぽい話の後は、最後のセッション「マルプラクティス」。まあ、早い話が「あるある」ネタなのですが、携帯サイトから投票できる仕組みがあったりいろいろ面白い仕掛けが。
生の雰囲気が伝わらないといまいち面白くないかもしれない上、進行が速かったのでメモがついて行けていないところが多く、情報欠落気味です。
マルプラクティスとは
- mal-practice
- 間違ったプラクティス
- 辞書を引くと「医療過誤」とあるが、ちょっとイメージ違うかも
- 「ベストプラクティス」の反対語みたいな感じ
マルプラクティス
プログラミング・マルプラクティス
- サニタイズのみ
- フィルタのみ
- コードレビューしない
- ソースコード検査しない
オープンソース・マルプラクティス
- コスト0だから選び放題
- ASP.NET / Java+Struts / Ryby+RoR …… 組み合わせ無限
- Webサーバ×ミドルウェア×DBの順列組み合わせが無数に
- その組み合わせは誰も知らない?
- 「バルカン化」……みんなラテン語語源なのに微妙に違う
※ASP.NET はオープンソースではないと思いますが。
ブランド・マルプラクティス
- 「データベース業界トップシェアのA社製品だから、問題があるはずがない!」
情報マルプラクティス
- 「脆弱性情報さえウォッチしておけばよいのだ!」
- CVE/JVNに載っていないものは脆弱性ではない?
- 情報に頼りすぎるのは……
- 例:「お上が言えば良いのだ!」
このあたりから、中島社長へのリスペクトが感じられるようになってきます。
GUIマルプラクティス
- とりあえず「グイ」を作成
- マネージャに見せる!
- できあがったように見える!
- (もうできてるじゃん、すぐ完成だよね→納品早まる)
- ちゃんと作る時間なし!
カタカナで「グイ」と書かれると面白いですが、それよりも……。
WAFマルプラクティス
- とりあえず「ワフ」入れておけば良いですよ
- よし買った!
- だけど結局、電源入れてない
- WAFの機能を使うとアプリケーションが動かなくなるので、ロードバランサーとしてしか使っていない :-)
これですよ。カタカナで「ワフ」と書かれると、すごく間の抜けた何かに見えてきますね。
監視マルプラクティス
- アクセスログでかすぎ! 全部見ていられないよ!
- カスタムのログ解析ツール? なにそれ?
- SQLインジェクションに気づかない
- 急にサイバー戦争の渦中に放り込まれる
- 異常アクセスを報告したことがない
中島社長へのリスペクト。ちなみにこのとき、「皆さんはログどうしてますか?」という話に対して「放置で /var あふれた」と書き込んだのは私です。これ某所の実話でして、フォレンジックどころじゃないですね。
永遠のβマルプラクティス
- 問題あるかもしれないし!
- とりあえずβとか謳っとけ
- ずーっとβ
- →品質に対するコミットメントを下げている?
ドキュメンテーション・マルプラクティス
- 「ここはWebアプリケーションでACL書けば良いからプログラムではチェック不要ね。」
- 「はい」
- →あれ、そんなことドキュメントのどこにも書いてないぞ?
- 開発:「Webサーバでチェックするはず」と思ってチェック機能を省略
- SI:「Webアプリでチェックするはず」と思って設定を省略
テスト・マルプラクティス
- 開発の早い段階でソースコード検査を実施!
- でも運用前に動的検査やってない
- 上司曰く「一度テストしたじゃない」
- (色々あるテストの違いをどうやって説明したものか。テスト費用の見積もりの説明が必要)
他人事マルプラクティス
- 開発・インテグレータ・運用者が火花を散らす
- 「それは開発の品質問題でしょ!
- 「いや現場で監視で何とかしろ!
- 「インテグレータがワフ入れてないから!
- Not our problem!
沈黙のマルプラクティス
- 顧客を前に、言えない!
- うちのWebアプリにはあんな問題やこんな問題が……
ミーティング・マルプラクティス
- 「セキュリティはちゃんとしていますよね」
- 「……」
- 「大丈夫ですよ、ガハハ」
- セキュリティに関するミーティングのはずが、和やかに過ごそうとして
報告マルプラクティス
- 「先週の問題はつぶしましたが、今週新しい問題を直しています」
- 「いったいいつになったら仕上がるんだ!」
要約マルプラクティス
- 「要するにどういうことだ」
- 要してはいけない!
- Webセキュリティの問題は複雑なのだ、勉強しろ!
調達マルプラクティス
- 「これだけの予算で何とかしろ」
- 「前にワフを買ったが、今度はチェッカーか。いったいいくつ買えばいいんだ」
- 製品ではない、プロセスと人なのだよ!
営業マルプラクティス
- 「この製品さえ買えば安心です!」
- 発火セーフ!
- そんな製品ないって……
仕様マルプラクティス
- 仕様なのか脆弱性なのか
- 新しい脆弱性……瑕疵担保でやっちゃって良いのか
- 悪徳車検業者
- スキャン、以上!
- どんなテストをやったのかの情報がない
- なにがしか問題が発見されたらテスト終了?
スケジュール・マルプラクティス
- 「月曜までに直してください」
顧客対応マルプラクティス
- とりいそぎ、お客様情報が漏洩した可能性が……。
- (ぶっちゃけ2000人以下だ)
- 調査の結果カード番号も……
- 3%還元します
- 状況を勘案し、1,000円相当を
- ※二転三転する、noticeになっていない
メンテナンス・マルプラクティス
- 「新たな脆弱性が出てきたので修正工数を……」
- 「そんなの予算に積んでないから無理」
- 「駄目な計画立てておいて涼しい顔」
- 年度計画に盛り込んでおくべき
インベントリ・マルプラクティス
- 「当社には脆弱なWebアプリはいくつあるんだ」
- 「それは分かりません、ただ対策は……」
- ※アプリは2000個ある
- リスク資産を棚卸しできていない
- 開発した資産を把握できていない
- 古いアプリケーションを捨てていますか?
コンプライアンス・マルプラクティス
- PマークとISMS……
- 内部統制……
- 文書化、文書化
- ※現場の問題が別にある
マルプラクティスの話はここまで。ここからは、名前に「マル」とつけば何でもありの「●プラクティス」の世界に突入して行きます。
●プラクティス
- Webアプリケーションに詳しくもないプログラマを丸抱え
- インハウスで開発したものの、まるでだめ
- 結果、はまる
- まるでだめ
- コピペで丸写し
- エスケープコードを丸呑み
- 業者に丸投げ
- 買ったけど電源入れてないから丸損
- 発火セーフ入れても丸腰
- やってることがまるでちがう
- でもそのことはマル秘
- 注入工具で丸出し
- 面目は丸潰れ
- 会社は丸焼け
- 社長は丸坊主
- やったやつは丸儲け
- 困る
この後、会場からも「マル」のネタがいくつか提供されましたが、メモしきれず。
最後に
最後に、以下の言葉で締めくくられました。
- 「失敗のパターンから学ぶ、成功への一筋の光」
感想
1日目の中島社長のセッションを聞いていると2倍楽しめるセッションとなりました。まあ、そうでなくても、何のことを言っているのか全く分からないという人は少なかっただろうと思いますが。
本人に直接言ってあげたほうが……と思わなくもなかったのですが、これは特定個人の問題ではないわけでして。ありがちな失敗のパターンをいかに共有していくのか、というところが課題になるでしょう。
- 「WASForum Conference 2008: Webセキュリティのマルプラクティス – 思い込みによるソフトウェアエラーをなんとかしろ」にコメントを書く
関連する話題: WAF / セキュリティ / ハッカーセーフ / WASForum Conference
- 前(古い): WASForum Conference 2008: Security Wars EpisodeⅢ
- 次(新しい): 償い
