Webサイトのセキュリティ対策

 2020.03.26  株式会社ジェイピー・セキュア

安心安全なWebサイトを運営することは、企業の信用問題に大きく影響します。昨今、Webサイト経由でサイバー攻撃の被害に遭った事例がメディアで多数取り上げられており、ユーザーはセキュリティに対して非常に敏感になっています。

そのため、Webサイトのセキュリティ対策は、Webサイトの価値を決定づける1つの要因になると言えるでしょう。また、GoogleではSSL/TLSによる通信暗号化が推奨されており、保護されていないWebサイトは検索エンジンからの評価が下がる可能性があります。

皆さまの会社が運営するWebサイトでは、どのようなセキュリティ対策を講じていますか?また、そのセキュリティ対策は適切なものでしょうか?本稿では、Webサイトのセキュリティ対策について解説します。

Webサイト経由で被害が起きる件数が多いのはなぜ?

セキュリティ情報の収集・発信、インシデント対応の支援を行っている一般社団法人のJPCERTコーディネーションセンターが四半期ごとに発表しているレポートを参考にしますと、2019年7月~9月の間に寄せられたセキュリティインシデントは5,733件になります。そのうち、Webサイトにかかわるインシデントは3,963件です。全体の約70%に上ります。
出典:JPCERTコーディネーションセンター『インシデント報告対応レポート2019 年 7 月 1 日 ~ 2019 年 9 月 30 日

Webサイトがこんなにも狙われる理由とは何なのでしょうか?その最たる理由が「Webアプリケーションの脆弱性」です。

現代では、Webアプリケーションを活用したサービスを提供しているWebサイトが多くなっていますが、セキュリティ上の欠点である「脆弱性」を抱えたWebサイトが多いというのが実情です。作りっぱなしになっているWebアプリケーションや古いフレームワーク、ソフトウェアを使用し続けているような環境は特に注意が必要ですが、度重なる改修における対策漏れなども予期せぬ脆弱性を生む原因となり、攻撃者はこれを見逃しません。

また、個人情報を扱うWebサイトも一般化しているため、攻撃者の視点からみると、Webサイトを攻撃するだけで機密情報を大量に窃取できるといった理由も考えられます。このほか、マルウェア拡散やスパムメール配信の踏み台として悪用されることもあります。ウェブサイトのセキュリティ対策

WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~
ジェイピー・セキュアソフトウェアライセンス価格表

Webサイトを狙ったサイバー攻撃の種類

では、Webサイトを標的としたサイバー攻撃にはどのようなものがあるのでしょうか?Webサイトに適切なセキュリティ対策を講じるためには、攻撃の種類や傾向を知ることが大切です。ここでは、JPCERTコーディネーションセンターが公開しているインシデント報告対応レポートから、発生件数の多い順にサイバー攻撃の種類をご紹介します。

1. クロスサイトスクリプティング(58%)

Webサイトに罠(偽のリンクなど)を仕掛け、その罠にかかったユーザーに被害を与えるサイバー攻撃です。単純なものでは、Webサイトのコメント欄に不正サイトのリンクを貼り、それをクリックしたユーザーからCookieの情報を盗むといった攻撃があります。高度なものでは罠のサイトに埋め込まれたリンクをクリックさせることで、本来の画面を改変し、個人情報の入力などを求めるように仕向けることもあります。対策が軽視されることがありますが、発見される脆弱性の数としても多い傾向にあり、注意が必要です。

2. DNS情報の設定不備(13%)

DNSサーバーの設定不備により、必要なIPアドレス以外からの転送要求に応答してしまい、DNS情報が攻撃側に流出するリスクがあります。DNSのゾーン情報には管理情報(サーバー名やIPアドレスなど)が保持されているため、それらが流出してしまうと運営側のサーバーやネットワーク構成が推測され、ネットワークへの不正侵入などの被害に遭う可能性があります。

3. SQLインジェクション(11%)

データベースの情報を狙ったサイバー攻撃の1種です。入力フォームなどのパラメータを通じて、不正にSQL文を送ることでデータベースを操作する攻撃です。データベースにはコンテンツの内容や会員情報、問い合わせ内容などの機密情報が含まれていることが多く、SQLインジェクションは大量の個人情報流出など、情報漏えい事件の代表的な原因とされています。規模の大小に関係なく、深刻な被害を受ける可能性があり、特に注意するべき攻撃の一つと言われています。

4. ディレクトリトラバーサル(2%)

外部からファイル名を指定した不正なパラメータを送ることで、運営者の意図していないかたちでファイルを参照したり、改ざん、削除する攻撃です。アプリケーションの設定やユーザー情報などの重要情報が参照されるなどの被害に遭う恐れがあります。

5. HTTPSの不適切な利用(2%)

「信頼された機関から発行されるSSLサーバー証明書を使っていない」「送信先はHTTPSだがフォームがHTTPSになっていない」など、本来はWebサイトの通信を保護するはずのHTTPSを不適切に利用してしまい、それが原因でサイバー攻撃の被害に遭うケースがあります。

6. ファイルの誤った公開(2%)

一部のWebサイトでは、本来保護されるはずの情報を一般に公開してしまっている可能性があります。攻撃側がこれに気づくと、簡単に個人情報漏えいなどの事件に発展します。

7. その他(12%)

上記のほか、コンテンツインジェクション、ブルーフォートアタック(総当たり攻撃)、ゼロデイ攻撃など、さまざまなサイバー攻撃によってWebサイトが狙われています。

ファイアウォールがあれば大丈夫?

Webサイトを運営している企業がほとんどであると言っても過言ではない昨今、ファイアウォールやウイルス対策ソフトを導入している企業も多いのではないでしょうか。これはセキュリティ対策の一環として非常に良いことであり、必須の対策と言えます。しかし、Webサイトのセキュリティ対策では「ファイアウォールを導入しているから大丈夫」とはなりません。安心・安全なWebサイトの運営には、Webアプリケーションの保護が重要となります。

ファイアウォールも通信を監視して、不正なアクセスを検知するためのセキュリティ製品ですが、Webサイトに送られるデータの内容までを監視することはできません。また、ウイルス対策ソフトは、コンピュータの正常動作を妨げたり、データを破壊するなど、コンピュータ上の不正プログラムの検知を目的としたセキュリティ製品であり、それぞれ目的の異なる機能を提供しています。

では、Webアプリケーションの保護に有効なセキュリティ製品とは何なのでしょうか?それは「WAF(ワフ)」と呼ばれるセキュリティ製品です。WAFは「Web Application Firewall(ウェブ・アプリケーション・ファイアウォール)」の略であり、Webアプリケーション層の通信を検査するためのセキュリティ製品です。

WAF(Web Application Firewall)

WAFは、クライアントとWebサイトの間でやり取りされる通信データの内容を検査することで、不正アクセスからWebサイト、Webアプリケーションを保護します。攻撃パターンを定義したシグネチャによるパターンマッチングを基本機能とし、複数の検査方法を組み合わせることで、Webサイトのセキュリティ対策を向上できるようになっています。

関連記事:

Webサイトは大変便利なツールであり、ビジネスの在り方を大きく変えた存在です。一方で、サイバー攻撃によるセキュリティリスクを無視することはできないという実情があります。一般的なファイアウォール導入による対策はもちろんのこと、WAFなどの専用製品を活用した多層防御による対策について考えていきましょう。

信頼の純国産ソフトウェア型WAF SiteGuardシリーズ製品概要

RECENT POST「Webセキュリティ」の最新記事


Webサイトのセキュリティ対策
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング