Scribble at 2023-11-28 16:09:30 Last modified: 2023-11-29 18:25:48

連れ合いから紹介された記事で、セキュリティ会社が主催したイベントに徳丸浩氏が出て Capital One という金融機関の大規模な情報漏えい事故を解説している。なかなか分かりやすい（少なくとも情報セキュリティの実務家にとっては、だが）解説だ。ただ、セキュリティに関わる仕様や設定やツールの選択など、はっきり言ってクリティカルな金融機関のウェブサイトとは思えないほど酷いことが分かる。

セキュリティを担当するマネージャとしてポジション・トークになってしまうが、そもそも mod_security なんて、いまどき使うか？ 自社でカスタマイズして使うとしても、そうとうなレベルの、それこそ一緒に使う Apache のソース・コードを手掛けているような技術レベルと経験を持つエンジニアがいなければ、こんなもん大抵のネット・ベンチャーでは選択肢にも入らないと思う。

しかし、たとえ mod_security がどうであろうと、こういうモジュールで対策するという発想そのものにこそ問題があると思う。なぜなら、Apache のモジュールは、しょせん Apache に脆弱性があったらセキュリティ上の設定や機能をバイパスされてしまう可能性があるからだ。ウェブ・アプリケーションのセキュリティにおいて大切なポリシーの一つは、マルチ・レイヤー防御である。そして、個々のレイヤーはパフォーマンスの低下を考慮した疎結合でなくてはいけない。ウェブ・サーバ本体のモジュールとして動作するなんていう密結合のソフトウェアでは、本体に問題があると正しく機能しなくなる可能性があるからだ。

他にも設定上の間違いとかが幾つか指摘されているが、そういう問題だけではなく、たとえば AWS においてルーティングの設計なり設定はボット対策のルール設定などよりも遥かに重要なのだが、得てしてウェブ・アプリケーションのエンジニアというのは、システム開発に関わる知識や技術や経験はあっても、意外とネットワーク通信に関する知識や技術や経験が乏しかったりするものだ。よって、開発力で強いと宣伝しているような会社には、そういう意味での過信が生じやすい。ネットワークに関する技術や経験がないのに、自分たちは「ウェブのプロ」だと思い込みやすいわけである。実際、この事例でも WAF のアプライアンス・サーバからデータベースへアクセスするという馬鹿げた経路を開いており、こんなのはコンピュータ・サイエンス学科の大学生や専門学校の生徒がやるようなミスである。