【解説】Webセキュリティ
~Webサイトを取り巻く脅威と対策~
安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。
おさえておきたい解説ポイント4項目
Webサイトのセキュリティ対策は必要不可欠
ウェブはいまやインターネット社会における重要なインフラとなり、その活用範囲は広がり続けています。
単なる情報発信の場にかぎらず、ショッピングやゲーム、メールやSNS をはじめとするコミュニケーションツールなど、その用途は多様化し、日々多くの新しいウェブサイトが公開されています。
今、多くのウェブサイトで、ウェブ(WWW:World Wide Web)の技術を基盤としたウェブアプリケーションが動作しています。ショッピングを例にすると、パソコンやスマートフォン、タブレットといったデバイスとウェブブラウザを使って、会員登録や商品の購入などが簡単に行えるようになっています。様々な情報がデータベースに蓄積され、検索や追加、更新、削除などを容易に且つ再利用できるようになっています。
その利便性の反面、ウェブサイトがサイバー攻撃のターゲットとなり、ウェブサイトを経由してデータベースを不正に操作され、個人情報をはじめとする機密情報が窃取される被害やウェブコンテンツの改ざんなど、様々な被害が発生しているのも事実です。
何故でしょうか?企業が持つ機密情報だけでなく、私たち個人の大切な情報が利活用されているウェブサイトは、安心・安全な環境でなくてはいけません。しかし、現実問題としてソフトウェアのバグがなくならないのと同じように、ウェブサイトも様々な要因でセキュリティ上の欠点(脆弱性)を抱えていることがあります。 悪意のある第三者、つまり攻撃者は、この脆弱性を狙ってくるのです。
Webサイトに対する攻撃・脅威について知る
私の日常に欠かせないウェブを利用した技術やサービスについて、どのような脅威が存在するのかを知り、対策を知ることは、安心・安全なウェブサイトの運営にとってとても重要です。
攻撃者は、データベースからの情報窃取やウェブコンテンツの改ざんなどを目的に、ウェブアプリケーションが抱える脆弱性を悪用します。常に安心・安全なウェブアプリケーションを開発、維持することができれば問題ありませんが、開発段階でのミスや運用上の問題など、様々な要因により、セキュリティの確保が難しくなることがあり、脆弱性を悪用した攻撃と、その被害がなくならないのが実情です。
SQLインジェクション
ディレクトリトラバーサル
WAFによる対策
このような脆弱性を悪用する攻撃に対し、どのように対策すれば良いのでしょうか? 脆弱性対策の1つの方法として、WAFを導入するという選択肢があります。
WAFは、Web Application Firewall(ウェブアプリケーションファイアウォール)の略で、SQLインジェクションやXSSなどのウェブアプリケーションの脆弱性を悪用した攻撃からウェブサイトを保護するセキュリティ対策です。それぞれの単語の頭文字からWAF(ワフ)と呼ばれています。
根本的な対策は、セキュリティに配慮したウェブアプリケーションを開発、維持し続けることですが、様々な要因により、セキュリティの確保は簡単なことではありません。WordPressやEC-CUBE、Apache Struts2などのソフトウェア、フレームワークを使用している場合は、これらで発見される脆弱性に関する情報収集やバージョンアップの計画なども必要になります。
WAFが導入されていると、セーフティネットとして大きな役割を果たし、ウェブサイトのセキュリティを向上させることができます。
純国産WAF「SiteGuardシリーズ」
EGセキュアソリューションズでは、かんたん導入・運用お任せのクラウドWAFのほか、インストールタイプでカスタマイズ性に優れたホスト型とゲートウェイ型に対応したソフトウェアWAF「SiteGuardシリーズ」を提供しています。
シンプル且つ高性能、100万サイトを超えるウェブサイトを保護している実績があります。
ソフトウェアWAFのSiteGuardは、ウェブサーバーにインストールする構成だけでなく、ゲートウェイ型の構成にも対応でき、ウェブサイトの数やトラフィック量を気にすることなく、WAFをご利用いただけます。
コスト試算がしやすいだけでなく、設定のカスタマイズも可能で、柔軟なWAFの運用を実現することができます。