ニュース

サーバーソフトが更新されにくい現状と対策、IPAがレポート公開

8割のWebサイトでサポート切れPHPを使用

 IPAは25日、脆弱性の届け出を受けたWebサイトで使用されているWebサーバー関連ソフトのバージョンを確認し、その結果を踏まえ、Webサイト運営組織や管理者向けに「サーバソフトウェアが最新版に更新されにくい現状および対策」を公開した。サポート終了後のPHPを使用している割合は80%などの問題提起を行い、その対策として運営管理の体制整備を提案している。

 Webサイトは今や事業運営に深く関わり、24時間365日稼働している。仮にWebサイトに情報セキュリティ上の不備があれば、常に被害を受ける可能性があると言える。実際に2013年には、Webサイトが改ざんされる例が7409件も発生した。その中には、悪意ある仕掛けにより、利用者が閲覧しただけでウイルスに感染してしまう事象(ドライブバイダウンロード)もあり、ウイルス感染、Webサイトからの情報漏えいが発生している。この原因として、Webサーバー構築に使用されているソフトウェアが古いバージョンのままで、脆弱性が未修正であったことが挙げられるという。

 IPAでは2008年2月から2013年9月の間に脆弱性の届け出があったWebサイトで使用されていたWebサーバー関連ソフトのうち、「PHP」「Apache」「IIS」を対象に届出時点のバージョン調査を実施。その結果、「プログラミング言語処理系のPHPについては、80%でサポートが終了したバージョンが使用されている可能性が高いことが分かった」という。

 旧バージョンのままWebサイトを運営し続けるのは、サイバー攻撃の標的とされかねないことから、IPAでは中長期的な視点に立ったWebサイト構築・運営のための組織的な管理のあり方を、IPAテクニカルウォッチ:「サーバソフトウェアが最新版に更新されにくい現状および対策」としてまとめ、Webサイト上で公開した。

 運営管理の体制整備において提案しているのは、以下のような手順。

(1)サービスレベル目標の設定:稼働時間の検討、運営機関の決定、想定する障害発生率など。(2)運営体制の整備:決定したサービスレベルに基づき、それを実行するための体制(工数・人材・ノウハウ)を確保する。(3)実務の設計:決定した運営体制を基に、運用チームの編成、手順の標準化・教育、事前のトラブル対策、維持管理のための点検項目の整理など。

 旧バージョンが使用され続ける理由には、最新バージョンに移行すると旧バージョンで作成したWebアプリケーションが動かなくなる互換性の問題や、開発時の担当者がすでに不在で対応・運用手順書もなく移行できない、といった工数・人材・技術継承などの問題があるという。

 しかし、万が一脆弱性を悪用された場合、事業継続への影響のみならず、利用者にも迷惑が及び、事後対応に相応のコストが発生しかねない。そこで本書ではIPAが実際に運営するWebサイトをケーススタディとして、適切な体制を整えることで問題を事前に防ぐ例も示している。これらも参考に、安全なWebサイトの運営のために中長期的・組織的な管理方法を検討してほしいとしている。

川島 弘之