普段、当たり前のように使っているのがWebアプリケーション(以下、Webアプリ)です。当たり前である(ユーザーが多い)故に、セキュリティリスクも高いのがWebアプリでもあります。
本稿では、なぜセキュリティ対策が必要か?Webアプリのセキュリティ担当者が意識しておくべき対策について解説していきます。
なぜセキュリティ対策が必要か?
インターネットを使って様々な事業を展開する上で、セキュリティ事故を防ぐことは必須であり、避けては通ることはません。
以下のように、企業がセキュリティ事故による被害を被った事例も出てきています。
「愛知の車部品企業で情報漏えい、標的型のランサムウェアに感染か」
このようなセキュリティ事故はどの企業にも起こる可能性があるため、セキュリティ対策によるリスク管理を行う意識を高めることが重要です。
顧客の情報が流出してしまえば、会社の信頼を失うなど、経営リスクにもなります。そのような経営リスクを防ぐためにも、しっかりとセキュリティ対策を行う必要があります。
サイバー攻撃との闘いはいたちごっこであると言われるように、その時々に合ったセキュリティ対策を施し、アップデートしていかなければならないのが現状です。
サイバー攻撃の実例被害としては以下のようなものがあります。
①Webサイトの改ざん
Webサイトのコンテンツやシステムを故意に書き換えるものです。
②個人情報漏えい
個人情報が漏えいすれば、当然悪用される危険性があります。電話番号や住所などを悪用されるだけでなく、クレジットカードを不正利用されてしまう恐れがあります。保有する個人情報を流出させてしまった場合、賠償や訴訟にまで発展することがあります。
③機密情報の漏えい
機密情報の漏えいは企業の信頼を失う可能性があります。ウイルスへの感染や社員による不正な情報の持ち出しなどにより、多くの組織で情報漏えいが実際に発生しています。
④システムの停止
社内の基幹システムが停止してしまうと、最悪の場合、業務自体が停止してしまうこともあります。
【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~
安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。
サイバー攻撃手法
具体的に使われるサイバー攻撃の手口をいくつか紹介します。
(1)バックドア
外部からパソコンやサーバーを操作できる不正プログラム(バックドア)を設置され、コンピュータが乗っ取られてしまいます。
(2)SQLインジェクション
データベースを活用したWebアプリケーションにおいて、セキュリティの不備を悪用され、意図しないSQL文を実行されてしまう脆弱性または攻撃のことです。情報漏えいの原因となる代表的な手口です。
(3)ランサムウェア
ランサムウェアとは、ユーザーのデータを「人質」にとり、データの回復のために「身代金」を要求する不正プログラムのことです。
パソコン内部に侵入し、勝手にファイルを暗号化したり、パスワードを設定したりし正常にデータにアクセス出来なくなってしまいます。ユーザーがデータにアクセスしようとすると、アクセスが不可能になったことを警告し、復元するための対価としてユーザーに金銭の支払いを要求します。
Webアプリ担当が行うべきセキュリティ対策
①脆弱性診断
ファイアウォールやサーバーなどのデバイスやアプリケーション層の脆弱性(セキュリティ上の欠点)を検査するサービスです。例えば既知の脆弱性に対する対処法を提供したり、リスクの度合いに応じて対処の優先順位を提示したりします。
脆弱性診断は、対象となるシステムに存在するセキュリティホールを発見・検出することで対策の実施を促すことを狙いとしています。脆弱性診断の結果に基づいてセキュリティホールを塞ぐことにより、侵入、改ざん、情報漏えいなどのインシデントによる被害を未然に防ぐことができます。
②改ざん検知
マルウェアや詐欺サイトの埋め込みなど、万が一Webサイトが改ざんされた場合に検知するサービスです。不正が検知された際は、自動的にメンテナンス画面に切り替わるような機能を備えたものもあります。
③アクセス制限
データへのアクセスを必要なユーザーに対して適切に許可するようにします。強制ブラウジングやデータの保存場所が原因となる攻撃に対して脆弱にならないよう、アクセスされてはいけない情報(個人情報など)をWebサーバーの公開ディレクトリ上に置かないようにします。その他、CMSなどの管理ページは、接続元IPアドレスによってアクセスを制限することが有効です。
④Webアプリケーションの脆弱性対策
外部から不正にSQL文を実行されるSQLインジェクションや不正なスクリプトを挿入、実行させられるクロスサイトスクリプティング(XSS)などの脆弱性を悪用した攻撃を受けないように、Webアプリケーションをセキュアに構築します。Webアプリケーションの脆弱性を悪用した攻撃は、不正なコマンド実行やディレクトリ・ファイル参照など、様々な手法があります。
Webアプリケーションの脆弱性対策では、WAFによる対策も一つの選択肢となります。“WAF”(Web Application Firewall)は、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護します。主に、ユーザーからの入力(リクエスト)に応じて動的なページを生成するタイプのWebサイトを不正な攻撃から守る役割を果たします。一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで解析できるのが特徴です。
⑤ウイルス対策ソフトの導入
ランサムウェアやワーム、スパイウェアなどのマルウエアによる攻撃を防ぐウイルス対策ソフトの導入は、Webサイトに不正なプログラムを仕込まれることを未然に防いだり、リスクを軽減するための対策になります。
まとめ
今回の記事では、企業のWebアプリ担当者が実施すべきセキュリティ対策についてご紹介してきました。
いかがでしょうか?Webアプリケーションのセキュリティ対策の基本について理解が深まったのではないでしょうか。セキュリティ対策を見直す際の参考にしてください。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
