Webアプリケーション開発者必見!セキュリティ対策6選

 2020.09.07  株式会社ジェイピー・セキュア

普段、日常生活において当たり前のように利用されているWebアプリケーション。

適切なセキュリティ対策を行うためには、セキュリティ事故によるリスクとサイバー攻撃の具体的手法についてよく理解しておかなければなりません。

本稿では、Webアプリケーションの開発者が注意すべきサイバー攻撃と、求められるセキュリティ対策について解説していきます。

セキュリティ事故によるリスク

脆弱性とは、Webアプリケーション開発時に生じるセキュリティ上のミスや不具合のことで、1つでもあると攻撃者に狙われてしまう可能性があります。

人が手作業で開発する以上、プログラムのミスや不具合をゼロにすることはできず、脆弱性対策は常につきまといます。脆弱性を放置したままWebアプリケーションを公開すると、以下のようなリスクが発生します。

  1. 顧客情報の漏えい
  2. Webサイトの改ざん
  3. ユーザー端末のマルウェア感染
  4. ユーザーアカウントの悪用
  5. 企業の社会的信用失墜、訴訟リスク

サイバー攻撃の具体的手法

ここでは、代表的なサイバー攻撃手法についてご紹介します。

1.SQL インジェクション攻撃

データベースと連携したWebアプリケーションの多くは、ユーザーからの入力情報をもとにSQLでデータベースから情報を参照・更新します。プログラムに脆弱性がある場合、アプリケーションが想定しないSQL文を実行することによりデータベースの不正利用を招くSQLインジェクション攻撃を受ける危険があります。

SQLインジェクション

2.DDoS攻撃

標的のコンピュータに対して、ネットワーク上にある不特定多数のマシンを使って、一斉に大量の負荷を与えることで、Webサービスを機能停止へ追い込む攻撃です。攻撃を実行するために、攻撃者は予め無関係のマシンにボットと呼ばれる攻撃ネットワークを構築します。

New call-to-action
ジェイピー・セキュアソフトウェアライセンス価格表

3.クロスサイトスクリプティング攻撃

ユーザーからの入力内容を表示するWebアプリケーションに、悪意のあるスクリプトを埋め込んだり、実行させる攻撃です。Webサイトへのアクセスで使用するセッション情報が盗まれたり、偽のページへ誘導されてクレジット情報が盗まれるなどの被害に遭う恐れがあります。

クロスサイトスクリプティング(XSS)

求められるセキュリティ対策

サイバー攻撃に対するセキュリティ対策を行う上では、脆弱性がないWebアプリケーションを開発することが大切です。また、Webアプリケーション公開後に脆弱性を発見した場合には、できる限り早く改修を行わなければなりません。

次に、具体的な対策例をいくつかご紹介していきます。

1.ソフトウェアの脆弱性対策

Webアプリケーションは、様々なソフトウェア・フレームワークを組み合わせて構成されています。それらのソフトウェア・フレームワーク自体にも脆弱性が散見されるため、定期的にバージョンアップやパッチ適用を行う必要があります。

開発責任者は、どのバージョンのソフトウェア・フレームワークが導入されているかをしっかり把握し、迅速な対策を取れるようにしておく必要があります。例えば、代表的なCMSであるWordPressでは複数のプラグインが使用されていますが、このプラグイン自体の脆弱性も考慮しなければなりません。

2.不要なアカウントを削除

Webアプリケーションに不要なアカウントが登録されている場合は削除するように心がけましょう。現在使用していない、開発初期のテストアカウントなどを減らすだけでも悪用されるリスクは軽減されます。

3.複雑なパスワードを設定

覚えやすい簡単なパスワードを設定していると、パスワードが推測されてしまったり、ユーザーIDやパスワードを総当りで検証する攻撃、「ブルートフォースアタック」により、不正にログインされる可能性があります。CMSなどの管理ページのアクセス権を奪取されてしまうと、攻撃者の意のままにサイトを操られてしまいますので、パスワードは複雑なものを使用し、定期的に変更しましょう。また、多要素認証も効果的です。

4.ファイルやディレクトリへのアクセスを制限

アクセス制御が不適切で、Webサーバーのファイルやディレクトリに第三者からアクセスされてしまった場合、ファイルの書き換えや不正プログラムが実行されるかもしれません。そうならないためにも、必要最小限のファイルのみ、閲覧・実行権限を付与するようにしましょう。

5.ネットワークのセキュリティ対策

ファイアウォールやIDS/IPSは、外部ネットワークからのアクセスを常に監視して、不正アクセスを監視・ブロックするためのシステムです。Webサーバーに対する不正アクセスを検知するWAFを併せて利用すると良いでしょう。

Webアプリケーションの脆弱性が発覚した際、すぐさま対処できないケースも多いのが実情ですが、WAFを導入していれば脆弱性を狙った攻撃を遮断することができます。予め攻撃されることを想定したセキュリティ対策も有効に活用しましょう。

WAF

6.Webサイトの常時SSL化

Webサイトに対する全通信を暗号化する常時SSLが普及しています。第三者による通信の盗聴や改ざんを防ぐために必須の対策です。以前は決裁ページや問い合わせフォームなど、個人情報を入力するページだけをSSL化することが普通でしたが、現在は常時SSLが当たり前となっていますので、忘れずに対応するようにしましょう。

まとめ

今回の記事では、Webアプリケーションのセキュリティ対策について、以下の観点からご紹介してきました。セキュリティに対する関心が高まったのではないでしょうか。

  • セキュリティ事故によるリスク
  • サイバー攻撃の具体的な手法
  • 求められるセキュリティ対策

Webサイトへのセキュリティ対策が必要と感じた方は、WAFなどのソリューションによる対策をご検討ください。

WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~

RECENT POST「Webセキュリティ」の最新記事


Webアプリケーション開発者必見!セキュリティ対策6選
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング