情報漏えい対策として求められるWebサイトのセキュリティ

Webサイトは企業のビジネスプラットフォームとして大きく成長した半面、サイバー攻撃による情報漏えい被害というリスクもあります。たとえWebサイトに個人情報を保持していなくとも、サイバー攻撃による改ざんを起点とした不正サイトへの誘導など、そこから情報漏えいが起きる可能性もあります。このため、Webサイトを運営しているすべての事業者にとってセキュリティ対策は必須です。本稿では、JNSA（日本ネットワークセキュリティ協会）が発表している情報をもとに、情報漏えい対策として求められるWebサイトセキュリティについて解説します。

Webサイトにおける情報漏えいの実態

まずは、JNSAが発表している『2018年情報セキュリティインシデントに関する調査結果～個人情報漏えい編～(速報版)』から、2018年と2017年に発生した情報漏えいインシデントの比較表を抜粋します。
比較表を見ていただくと分かる通り、2017年から2018年にかけて情報漏えい事件は大きく拡大し、漏えいした個人情報の人数は41万人増、想定損害賠償総額は770億円も増しています。次に、2018年の情報漏えいインシデントTOP10を確認してみましょう。
情報漏えいインシデントとして最も多くなっているのが不正アクセスであり、かつ発生源として情報通信業が多くなっています。これは、Webサイトを経由した情報漏えい事件の多発を示していると考えられます。

情報漏えいの原因

では、情報漏えいインシデントはどのような原因で発生しているのでしょうか？こちらもJNSAのデータを参照にご紹介します。

最も多い原因は意外なことに「紛失・置き忘れ」「誤操作」といった内部要因です。情報漏えいインシデントの多くは大規模なサイバー攻撃ばかりが注目されていますが、実は内部要因による情報漏えいが昔から多い傾向にあります。そして、その次に「不正アクセス」が続き、情報漏えいの3大原因となっています。Webサイトの対策としては、設定ミスや誤った情報公開など、管理面も問題に注意するのはもちろんのこと、Webサイトを狙ったサイバー攻撃「不正アクセス」への警戒を怠ってはいけません。

Webサイトを狙ったサイバー攻撃の種類

Webサイトを狙ったサイバー攻撃は多種多様であり、ツールによって機械的に攻撃を試みるなど、技術力の高くないサイバー犯罪者でも広範に攻撃を実行できてしまうのが問題です。では、具体的にどのようなサイバー攻撃があるのでしょうか？

1. SQLインジェクション

ユーザーの個人情報などを管理するのに用いるデータベースを不正に操作する攻撃です。データベースを操作するにはSQLという言語を使用しますが、入力フォームなどを備えるWebサイトにおいて、外部パラメータから不正にSQLを実行する攻撃文字列を実行することで、データベースに格納されているデータを参照したり、改ざんします。この問題をSQLインジェクションの脆弱性と呼び、これを悪用する攻撃はSQLインジェクション攻撃と呼ばれています。大規模な情報漏えいインシデントにつながる恐れがあるため、特に注意すべき攻撃の一つとされています。

関連記事：

• WAFによるSQLインジェクション攻撃の防御

2. OSコマンドインジェクション

Webサーバー上でOSコマンドを不正に実行する攻撃です。Webアプリケーションで、シェルコマンド文字列を組み立てて実行している箇所がある場合、適切な実装がされていないと、外部からのパラメータ入力によって不正にコマンド文字列を送り込まれる恐れがあります。本来想定していない命令を外部からの入力で強制的に実行されてしまうため、SQLインジェクション同様に攻撃を受けた場合の被害が大きくなることがあります。この問題をOSコマンドインジェクションの脆弱性と呼び、これを悪用した攻撃はOSコマンドインジェクション攻撃と呼ばれています

関連記事：

• WAFによるOSコマンドインジェクション攻撃の防御

3. ブルートフォース攻撃・パスワードリスト攻撃

「総当たり攻撃」とも呼ばれ、ユーザーのアカウントIDとパスワードを解析するために、考えられるすべてのパターンを施行する攻撃です。他のサイバー攻撃とは違い強硬的に実施する性質があり、ID・パスワード管理がずさんだと簡単に不正アクセスを許してしまい、情報漏えいに発展します。

ブルートフォース攻撃同様に認証を突破することを目的としたサイバー攻撃として、窃取したアカウントとパスワードを使用し、不正ログインを試みるパスワードリスト攻撃があります。複数のWebサイトやサービスで同一IDとパスワードを利用しているユーザーが多いため、それを悪用した攻撃です。

複雑なパスワードを利用するようにするだけでなく、携帯電話番号のSMSに認証コードを送信するなど、2段階認証の必要性が高まり、普及しています。

4. DDoS攻撃

Webサイトに対して大量のリクエストを送信し、キャパシティをオーバーさせることでWebサイトのサービスを停止に追い込むサイバー攻撃です。単なる嫌がらせ行為だけでなく、政治的攻撃として実行されるケースも多くなっています。

WAFによるSQLインジェクション攻撃の防御

Webサイトを対象にしたサイバー攻撃は多数存在します。その中でも危険度が高いと言われているのが「SQLインジェクション（SQL Injection）」です。本稿では、SQLインジェクションの基礎を解説し、セキュリティ対策として有効な「WAF（Web Application Firewall）」をご紹介します。

Webサイトを保護するためのセキュリティ対策

上記でご紹介したサイバー攻撃以外にも、Webサイトを狙った攻撃は多数存在しています。では、どのように対策すればよいのでしょうか？Webサイトのセキュリティ対策としては、Webアプリケーションの脆弱性を悪用した不正アクセスを検出し、防御するWeb Application Firewall（ウェブアプリケーションファイアウォール）が有効です。それぞれの単語の頭文字からWAF（ワフ）と呼ばれています。

WAFは、Webアプリケーションの脆弱性を悪用した攻撃の防御に特化したセキュリティ製品で、前述のSQLインジェクション攻撃などを効果的に検出、防御することでWebサイトを保護します。一般的なファイアウォールやIPS/IDSとは目的と機能が異なります。

ブラックリスト方式とホワイトリスト方式によるシグネチャ検査を中心とし、様々な機能を備え、クレジットカードのセキュリティ基準であるPCI DSSへの準拠に活用できるセキュリティ製品としても注目されています。

関連記事：

• WAFとファイアウォールの違いとは？
• WAFとIPSの違いとは？

Webサイトを狙った危険なサイバー攻撃から皆さまのWebサイトを保護するためにも、WAF導入をぜひご検討ください。

WAFとは

Webアプリケーションファイアウォール（WAF：Web Application Firewall）は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。