Webアプリケーションを活用しているホームページやWebサイトをもつ企業は少なくありません。しかし最近では、Webアプリケーションをターゲットにするサイバー攻撃は珍しくなくなりました。不正アクセス等の悪質なトラブルに、どのような対策をすれば良いのでしょうか。Webアプリケーションのセキュリティについて、今回の記事では絶対に読んでおきたい情報についていくつか紹介します。
多くのWebアプリケーションに関する記事では、脆弱性に関するリスクと対策の必要性を説いています。脆弱性とは何か、脆弱性がどういう問題を引き起こしているかが最初のポイントになります。まずは理解すべき脆弱性について紹介します。Webアプリケーションやインターネットサービスは、常に脆弱性に脅かされていると言っても過言ではありません。
Webアプリケーションやセキュリティに関する記事を読むと「脆弱性」という単語を必ず見るでしょう。脆弱性とはシステム上の不具合やエラーそのものと言えるでしょう。プログラミングの不備によるものが多いですが、いくつかのソフトウェアやWebアプリケーションが組み合わさることで予期しないトラブルが起きることがあります。パソコンのWindowsやMacなどでも脆弱性が原因で不具合が起きています。
Webアプリケーションやソフトウェア自体に全くセキュリティ対策が施されていないということはありません。そのため通常は、よほどのことがない限り、問題が起きることはありません。しかし悪質なサイバー犯罪を企てる攻撃者は、意図的にシステムやWebアプリケーションの脆弱性を悪用し、通常では起こりえないプログラムや膨大な量のデータをシステムへぶつけてきます。
セキュリティに対する関心は海外の方が日本より高いでしょう。そのためIPA(独立行政法人情報推進機構)は、セキュリティに関する意識が低いことに警鐘を鳴らす資料や記事を多く作成しています。サイバー犯罪や事件件数は、日本よりも海外が多く被害額も膨大なものになります。しかし、標的型攻撃と呼ばれるサイバー攻撃は、日本の企業もターゲットになっているため、被害を出さないためにもセキュリティ対策を考える必要があります。
企業がサイバー攻撃をされた場合、顧客情報が流出した場合と流出しない場合で、ニュースの取り上げられ方が変わるように思えます。もちろん、ニュースで報道されるのは顧客情報が流出したというケースが大半ではないでしょうか。流出した情報は、氏名や住所だけでなく、口座番号やクレジットカード、セキュリティコードなど死活問題になりそうな情報まで含まれています。その顧客から預かっている情報を、悪質な攻撃者に奪われることは顧客からの信用を失います。また情報漏えい時の対応の遅れなどで、不信感を持たれてしまう企業も多いです。トラブル時の対処法なども考えておく必要があります。
インターネットに公開されているセキュリティ対策に関する記事には、多くの情報が流されています。しかし気を付けるべきは、完璧なセキュリティ対策というものが存在しないということです。それぞれのセキュリティ対策は、守れる範囲や攻撃が異なっています。一つの方法に満足せず、いくつかの手法を組み合わせ、多層防御を心がけましょう。セキュリティソフトさえインストールしておけば大丈夫ということはパソコンではありえません。同じようなことがWebアプリケーションにも言えます。
これまでにもセキュリティは多く紹介されてきました。しかし従来の記事にも多くあるように、ファイアウォールやIPS(不正侵入検知サービス)だけでは、巧妙になってきている不正アクセス対策としては万全とは言えません。WAFは、ファイアウォールやIPSでは防げないWebアプリケーションへのサイバー攻撃を防ぎます。これまでのセキュリティで検出できない怪しいデータの中身を見て攻撃か判断します。WAFを組み合わせた上で、複数のセキュリティ対策をすることが今後の定番になるでしょう。
WAFというオプションや設定が出来ることをアピールするレンタルサーバーは多くあります。WAFは新しい技術のようにも思えますが、もともと存在していました。しかし物理機器を設置するWAFは高機能のため高額なコストが問題になっていました。最近では物理機器が不要なクラウド型WAFが主流です。従来のWAFシステムに比べるとコストダウンができるというメリットがあります。そのため多くの企業でも導入されるようになってきています。
セキュリティ対策をアドバイスしてくれる多くの記事で説いていることは、技術やハードのことばかりではありません。情報に対するモラルや責任を教育する必要があると訴えているものも多くあります。セキュリティ管理者の意識一つで簡単に情報漏えいに繋がります。金銭目的で情報を横流しする内部犯罪もいます。技術と同じく、セキュリティ対策を目指す企業は社員教育に力を入れるべきでしょう。会計や送金サービスなどWebアプリケーションを用いるサービスを利用しているユーザーにも、被害者にならないためにも、安易なIDやパスワード設定を避けることが求められます。
今回はWebアプリケーションのセキュリティを検討している方へ、セキュリティ対策のポイントを紹介しました。セキュリティ対策は技術だけでなく、セキュリティ対策に対する意識を持つことが大切であると言えるでしょう。
WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAFも選択肢が多いですが、導入しやすいものとしておすすめするものに「攻撃遮断くん」があります。
システム変更不要のため最短翌営業日で導入でき、ユーザー側での運用は一切必要ないため低価格かつ簡単に高セキュリティを実現できます。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
(2018/5/25執筆、2019/11/01修正・加筆)
この記事と一緒に読まれています
サーバセキュリティを勉強するなら絶対に読んでおきたいサイトや記事
2019.10.04
セキュリティ対策
Webサイトのセキュリティ対策を学ぶときに便利なスライドまとめ
2020.03.29
セキュリティ対策
2019.10.27
セキュリティ対策
2020.02.14
セキュリティ対策
2020.01.10
セキュリティ対策
クラウド型WAFとアプライアンス(オンプレ)型WAF タイプ毎の違い
2020.03.09
セキュリティ対策