Webサイトを運用する上で欠かせないWebアプリケーションは、企業の大小に関わらず攻撃対象になることがあり、攻撃を受けてしまうと甚大な被害が生じる危険性があります。企業がWebアプリケーションを効率良く、安全に運用していくためにも、Webアプリケーションにおけるセキュリティ上の問題とその対策について把握しておきましょう。
Webアプリケーションに生じうるセキュリティリスク
Webアプリケーションを運用する上で、どのようなセキュリティリスクが生じる可能性があるのでしょうか。まずはWebアプリケーションに起こりやすいセキュリティリスクの内容についてご紹介します。
個人情報の漏洩
Webアプリケーションを導入する際、氏名や住所、クレジットカード番号などの個人情報を登録する機会も多いでしょう。しかし、Webアプリケーションの脆弱性を狙った不正アクセスが発生すると、Webアプリケーション内に記録された個人情報が外部に流出する恐れがあります。
個人情報の流出は金銭的な被害だけでなく、企業にとっての社会的信用にも重大な影響をもたらします。例えば、ECサイトで使用するシステムに不正アクセスがあり、顧客の個人情報が流出してしまうというケースも実際に起こっています。このように個人情報の漏洩は、企業だけでなく顧客にも被害が及び、企業は社会的信用を大きく失ってしまうことにつながるのです。また、個人情報の漏洩をきっかけに風評が立ち、大きな機会損失につながることもあります。
情報やシステムの損壊
個人情報の漏洩だけでなく、保有している情報やシステムそのものを破壊されたり、サービスの動作を妨害されることにより、業務を遂行できなくなるケースもあります。
例えば、ECサイトなどのWebアプリケーションでは、顧客が送信するデータをサーバー経由でデータベースに登録します。このデータベースを管理するシステムに対して、Webアプリケーションが意図しない動作を実行することで、データベース上のデータが消去または改ざんされてしまう恐れがあり、最悪の場合はシステムそのものが正常に機能しなくなってしまいます。Webアプリケーション本来の機能が停止することで、業務に大きな支障が生じるだけでなく、復旧対応が遅れ企業の経営や売上にも影響が及ぶなど、甚大な被害となる危険性も大きいといえるでしょう。
利用者への攻撃
Webアプリケーションの中には、利用者のブラウザ上でスクリプトを実行するものがあります。このようなWebアプリケーションで、個人情報を奪ったり、利用者の端末上で不正な操作を行う攻撃を「クロスサイトスクリプティング」といいます。
アプリケーションが意図しない動きを利用者のブラウザ上で実行され、マルウェア感染やフィッシングなどの被害が発生する恐れがあります。
また、利用者のWebブラウザとWebサーバー間でのHTTPという通信の中に、個々の処理に情報を連動させるセッションという一連の流れがあります。このセッションの管理に脆弱性があると、攻撃の内容によっては利用者のなりすましが発生してしまう恐れがあります。
このように、企業に留まらず、利用者にもさまざまな実害が生じる危険性もあるのです。
【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~
安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。
Webアプリケーションのセキュリティを高めるには
Webアプリケーションへの攻撃は、企業などの組織に限らず、利用者個人にも甚大な被害を及ぼしかねません。
多方面への被害を抑えるために、Webアプリケーションへの攻撃を防ぎ、セキュリティを強化するためにはどうすれば良いのでしょうか。主なセキュリティリスクへの具体的な対策方法をご紹介します。
システムやCMSを最新に保つ
セキュリティ対策を行う上で、まず安全なWebアプリケーションを運用することが第一です。お使いのCMSなどのWebシステムは常に最新バージョンにアップデートしておきましょう。
特に企業に広く利用されているソフトウェアやWordPressのようなCMSは、サイバー攻撃の対象となりやすいことから、アップデートすることで新たな攻撃へのセキュリティ対策を取り入れた新機能を実装する必要があります。
使用しているCMSなどのWebシステムの更新はこまめに行いましょう。
不正なアクセスを遮断する
システムそのものの安全性を考慮した上で、脆弱性を狙った不正アクセスを防止することも大切です。
不正アクセス防止には、セキュリティ対策システムを導入し、アクセスする道筋を断つのがおすすめです。
中でも特に有名なのが「ファイアウォール」と「IPS」です。
ファイアウォールとは、不要に開放されたポートやプロトコルを遮断し、不正アクセスが起こりやすい侵入経路を防ぐ機能です。共用レンタルサーバーなどではサービスを提供している事業者が設定を行うため、利用者側が自ら設定を行う必要はありません。
次にIPSとは、「Intrusion Prevention System」の略で、秒単位で大量のアクセスを行うDoS攻撃などの不正な通信に対し、リアルタイムに反応し、不正アクセスを破棄・遮断する機能のことです。
ファイアウォールはポート番号などの発信元情報に限定してセキュリティ対策を行うのに対し、IPSはファイアウォールの範囲外となる不正アクセスを防止します。
このように、攻撃の余地を狭める機能を活用し、不正アクセスの遮断に努めましょう。
WAFにより高度な攻撃を対策する
ファイアウォールやIPSで不正アクセスに対応したとしても、データベースを不正に操作する「SQLインジェクション攻撃」や、Webページを不正に動作させる「クロスサイトスクリプティング」といった、Webアプリケーションそのものへの攻撃を防ぐことはできません。
このようなWebアプリケーションに起こりうるセキュリティリスクへの対策として注目されているのが、「WAF(ワフ)」です。
WAFとは、「Web Application Firewall」の略で、Webアプリケーションの脆弱性を悪用する攻撃に対して非常に有効です。パスワードなどを大量に自動生成して不正アクセスを試みる「ブルートフォースアタック(総当たり攻撃)」を防ぐ効果も期待できます。
WAFには、ハードウェアタイプであるアプライアンス型のほか、ソフトウェア型、クラウド型の3種類があります。
大手のレンタルサーバー会社が提供する共用レンタルサーバーでは、WAFが標準搭載されていることが多くなっています。事業者によって機能の有無や設定方法が異なるため、気になる方は一度確認しておきましょう。
<まとめ>WAFを導入してWebアプリケーションのセキュリティを固めよう
Webアプリケーションにおけるセキュリティリスクを回避するためには、あらゆる侵入経路をブロックする必要があります。
JP-Secureでは、Webサーバーのモジュールとして動作するホスト型WAFの「SiteGuard Server Edition」と、リバースプロキシとして動作するゲートウェイ型WAFの「SiteGuard Proxy Edition」があり、要件や構成に合わせて選べる2つのWAFをご用意しております。専門家でなくとも取り扱えるため、新たに人員を確保することなく、手間をかけずにWAFの導入が可能です。Webアプリケーションのセキュリティ対策として、JP-Secure製品の導入を検討してみてはいかがでしょうか?
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
