Webサイトのセキュリティ対策

安心安全なWebサイトを運営することは、企業の信用問題に大きく影響します。

日々、Webサイト経由でサイバー攻撃の被害に遭った事例がメディアで多数取り上げられており、ユーザーはセキュリティに対して非常に敏感になっています。

そのため、Webサイトのセキュリティ対策は、Webサイトの価値を決定づける1つの要因になると言えるでしょう。また、GoogleではSSL/TLSによる通信暗号化が推奨されており、保護されていないWebサイトは検索エンジンからの評価が下がる可能性があります。

皆さまの会社が運営するWebサイトでは、どのようなセキュリティ対策を講じていますか？また、そのセキュリティ対策は適切なものでしょうか？本稿では、Webサイトのセキュリティ対策について解説します。

Webサイト経由で被害が起きる件数が多いのはなぜ？

セキュリティ情報の収集・発信、インシデント対応の支援を行っている一般社団法人のJPCERTコーディネーションセンターが四半期ごとに発表しているレポートを参考にしますと、2024年4月～6月の間に寄せられたセキュリティインシデントは6,089件になります。

そのうち、Webサイトにかかわるインシデントは5,116件です。全体の約84％に上ります。

出典：JPCERTコーディネーションセンター『インシデント報告対応レポート2024 年4月1日 ～ 2024年6月30日』

Webサイトがこんなにも狙われる理由とは何なのでしょうか？その最たる理由が「Webアプリケーションの脆弱性」です。

現代では、Webアプリケーションを活用したサービスを提供しているWebサイトが多くなっていますが、セキュリティ上の欠点である「脆弱性」を抱えたWebサイトが多いというのが実情です。

作りっぱなしになっているWebアプリケーションや古いフレームワーク、ソフトウェアを使用し続けているような環境は特に注意が必要ですが、度重なる改修における対策漏れなども予期せぬ脆弱性を生む原因となり、攻撃者はこれを見逃しません。

また、個人情報を扱うWebサイトも一般化しているため、攻撃者の視点からみると、Webサイトを攻撃するだけで機密情報を大量に窃取できるといった理由も考えられます。このほか、マルウェア拡散やスパムメール配信の踏み台として悪用されることもあります。

【解説】Webセキュリティ ～Webサイトを取り巻く脅威と対策～

安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。

Webサイトを狙ったサイバー攻撃の種類

では、Webサイトを標的としたサイバー攻撃にはどのようなものがあるのでしょうか？Webサイトに適切なセキュリティ対策を講じるためには、攻撃の種類や傾向を知ることが大切です。

ここでは、代表的なサイバー攻撃をピックアップしてご紹介します。

1. クロスサイトスクリプティング

Webサイトに罠（偽のリンクなど）を仕掛け、その罠にかかったユーザーに被害を与えるサイバー攻撃です。

単純なものでは、Webサイトのコメント欄に不正サイトのリンクを貼り、それをクリックしたユーザーからCookieの情報を盗むといった攻撃があります。高度なものでは罠のサイトに埋め込まれたリンクをクリックさせることで、本来の画面を改変し、個人情報の入力などを求めるように仕向けることもあります。

対策が軽視されることがありますが、発見される脆弱性の数としても多い傾向にあり、注意が必要です。

2. DNS情報の設定不備

DNSサーバーの設定不備により、必要なIPアドレス以外からの転送要求に応答してしまい、DNS情報が攻撃側に流出するリスクがあります。

DNSのゾーン情報には管理情報（サーバー名やIPアドレスなど）が保持されているため、それらが流出してしまうと運営側のサーバーやネットワーク構成が推測され、ネットワークへの不正侵入などの被害に遭う可能性があります。

3. SQLインジェクション

データベースの情報を狙ったサイバー攻撃の1種です。入力フォームなどのパラメータを通じて、不正にSQL文を送ることでデータベースを操作する攻撃です。

データベースにはコンテンツの内容や会員情報、問い合わせ内容などの機密情報が含まれていることが多く、SQLインジェクションは大量の個人情報流出など、情報漏えい事件の代表的な原因とされています。

規模の大小に関係なく、深刻な被害を受ける可能性があり、特に注意するべき攻撃の一つと言われています。 

4. ディレクトリトラバーサル

外部からファイル名を指定した不正なパラメータを送ることで、運営者の意図していないかたちでファイルを参照したり、改ざん、削除する攻撃です。アプリケーションの設定やユーザー情報などの重要情報が参照されるなどの被害に遭う恐れがあります。

5. HTTPSの不適切な利用

「信頼された機関から発行されるSSLサーバー証明書を使っていない」「送信先はHTTPSだがフォームがHTTPSになっていない」など、本来はWebサイトの通信を保護するはずのHTTPSを不適切に利用してしまい、それが原因でサイバー攻撃の被害に遭うケースがあります。

6. ファイルの誤った公開

一部のWebサイトでは、本来保護されるはずの情報を一般に公開してしまっている可能性があります。攻撃側がこれに気づくと、簡単に個人情報漏えいなどの事件に発展します。

7. その他

上記のほか、コンテンツインジェクション、ブルーフォートアタック（総当たり攻撃）、ゼロデイ攻撃など、さまざまなサイバー攻撃によってWebサイトが狙われています。

ファイアウォールがあれば大丈夫？

Webサイトを運営している企業がほとんどであると言っても過言ではない昨今、ファイアウォールやウイルス対策ソフトを導入している企業も多いのではないでしょうか。これはセキュリティ対策の一環として非常に良いことであり、必須の対策と言えます。

しかし、Webサイトのセキュリティ対策では「ファイアウォールを導入しているから大丈夫」とはなりません。安心・安全なWebサイトの運営には、Webアプリケーションの保護が重要となります。

ファイアウォールも通信を監視して、不正なアクセスを検知するためのセキュリティ製品ですが、Webサイトに送られるデータの内容までを監視することはできません。

また、ウイルス対策ソフトは、コンピュータの正常動作を妨げたり、データを破壊するなど、コンピュータ上の不正プログラムの検知を目的としたセキュリティ製品であり、それぞれ目的の異なる機能を提供しています。

では、Webアプリケーションの保護に有効なセキュリティ製品とは何なのでしょうか？それは「WAF（ワフ）」と呼ばれるセキュリティ製品です。

WAFは「Web Application Firewall（ウェブ・アプリケーション・ファイアウォール）」の略であり、Webアプリケーション層の通信を検査するためのセキュリティ製品です。

WAFは、クライアントとWebサイトの間でやり取りされる通信データの内容を検査することで、不正アクセスからWebサイト、Webアプリケーションを保護します。

攻撃パターンを定義したシグネチャによるパターンマッチングを基本機能とし、複数の検査方法を組み合わせることで、Webサイトのセキュリティ対策を向上できるようになっています。

関連記事：

• WAFとファイアウォールの違いとは？

Webサイトは大変便利なツールであり、ビジネスの在り方を大きく変えた存在です。一方で、サイバー攻撃によるセキュリティリスクを無視することはできないという実情があります。一般的なファイアウォール導入による対策はもちろんのこと、WAFなどの専用製品を活用した多層防御による対策について考えていきましょう。

EGセキュアソリューションズ株式会社が開発・販売する純国産WAF「SiteGuardシリーズ」は、Webアプリケーションの脆弱性を悪用する様々な攻撃に対し高い防御性能とユーザビリティの両立を実現した純国産のWAF製品です。

クラウド型WAF「SiteGuard Cloud Edition」、ホスト型WAF「SiteGuard Server Edition」、ゲートウェイ型WAF「SiteGuard Proxy Edition」をご用意しており、お客様の様々なご要件に合わせて導入することができます。Webアプリケーションのセキュリティ対策として、WAFの導入をご検討の際はぜひ当社までご相談ください。

WAFとは

Webアプリケーションファイアウォール（WAF：Web Application Firewall）は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。