脆弱性

webアプリケーションの脆弱性対策が必要な理由と起こりうるトラブルについて

2020.02.10

脆弱性

webアプリケーションの脆弱性対策が必要な理由と起こりうるトラブルについて

セキュリティ用語について調べていると、webアプリケーションの脆弱性対策について記述されているwebサイトを目にする機会も多いでしょう。しかし、なぜwebアプリケーションの脆弱性対策が必要か疑問に思っている人もいるのではないでしょうか。そこで、この記事ではwebアプリケーションの脆弱性対策が必要な理由と、怠ったときに起こりうるトラブルについて紹介していきます。

目次

webアプリケーションの脆弱性対策が注目を集めている理由とは

webアプリケーションの脆弱性が注目を集めているのは、ネットワークやシステムに比べて対処が難しいからです。webに接続するときは、デスクトップやノートパソコン、タブレット端末などを利用することが多いでしょう。webに接続する人および使っている機器のことをクライアントと呼びます。それに対して、クライアントの要望に応じ、webコンテンツを提供するシステムはサーバーと呼ばれています。

ただし、クライアントとサーバーをつなぐ存在がなければ、webアプリケーションは利用できません。IT用語では、クライアントとサーバーをつなぐ存在のことをwebと呼んでいます。セキュリティ対策はクライアントとサーバーの双方で実行することが重要ですが、実際に不正アクセスの対象となりやすいのは、よりたくさんのデータが保管されているサーバーです。そのため、webアプリケーションの脆弱性対策としては、企業側が提供するwebシステムのセキュリティ対策が大切になります。

一般的なwebアプリケーションを提供するシステムは、アプリケーションとシステム、ネットワークといった3階層で構成されているのが特徴です。最下層のネットワークによってデータ通信を行い、中間層のシステム部分でアプリケーションが利用できる環境を整えています。そして、最上層のアプリケーションで、さまざまな命令を実行しているという具合です。そのため、クライアントが安全に利用するためには、3つの階層すべてのセキュリティを高める必要があるといえます。

ネットワーク階層のセキュリティは、外部からの不正な侵入者と正規のユーザーを見分けることが主な役割です。実際に、多くのwebアプリケーションでは、ファイヤーウォールや侵入を検知して防止するIDSなどのセキュリティ対策が施されています。ただし、これらのセキュリティでは正規ユーザーのフリをして進入してきた不正な人物を排除することはできません。つまり、最上位にあるwebアプリケーションを狙った攻撃のすべてを防ぐことはできないのです。

システムのセキュリティには、WindowsなどのOSが深く関係しています。OSを提供する事業者は、最新のウイルスや脆弱性に対する情報を得ているため、必要に応じてセキュリティの向上を目的としたアップデートを行っています。webアプリケーションの管理者は常に最新のバージョンにアップデートすることで、一定のセキュリティが担保されているのです。とはいうものの、不正を試みる人物によってシステムの脆弱性は常に研究されており、いつ新しい手法で不正侵入が行われるか分かりません。アップデートをしていても、不正侵入がなくなるわけではないのです。

このように、ネットワークとシステム部分については、一般的にある程度のセキュリティ対策が行われています。しかし、アプリケーションについてはそれぞれ独自の構造で動作しているため、一概に強度の高いセキュリティを施すことができません。そのため、不正侵入を試みる人物の格好のターゲットになってしまうというわけです。実際にwebアプリケーションを狙った攻撃として、SQLインジェクションやランサムウェアといったものによる被害が増えてきています。OWASP という有名なwebセキュリティサービスを提供している会社によると、実際に起こっている攻撃の90%以上がアプリケーションを狙ったものだということです。つまり、webアプリケーションの脆弱性を解消することは、クライアントとサーバーの双方が安心して利用するために必要不可欠だといえます。

webアプリケーションの脆弱性対策をしないと起こる可能性のあるトラブル事例

webアプリケーションの脆弱性対策を行わないと、さまざまなトラブルが発生する可能性があります。そこで、どのようなトラブルが起きる恐れがあるのかについて、代表的な事例を3つ紹介していきます。

個人情報を盗まれる(個人情報漏えい)

一般的に、webアプリケーションを利用するにあたってはさまざまな関連する情報と紐づけられています。特にアカウントの作成にあたって住所や氏名などを登録しなければいけないアプリケーションには、大量の個人情報が含まれています。webアプリケーションの脆弱性への攻撃手法としては、SQLという言語を用いたSQLインジェクションというものがあるので、注意しなければいけません。SQLインジェクションは、言語を用いてアプリケーションに対して命令を下し、普段では行わないような行動を実行させることが可能です。たとえば、「個人情報を特定のパソコンに送信しろ」という命令を実行させられます。

万が一、個人情報が外部へ流出してしまうと、アプリケーションの信頼は地に落ちてしまうでしょう。その結果、その企業への社会的信用度もなくなり、顧客離れが起きる可能性が高いです。コンプライアンスが重視されている現代では、一般消費者の個人情報の管理体制への関心は高まっており、外部流出が起こった企業の信頼回復は簡単なことではありません。それまで経営が順調だった企業でも、一気に経営が苦しくなる恐れがあることは十分に理解しておきましょう。

ユーザーの端末が乗っ取られる

webアプリケーションへの攻撃手法にはさまざまなものがありますが、アプリケーションを利用しているユーザーをターゲットにしている場合もあります。たとえば、ユーザーが利用している端末を乗っ取るケースです。代表的なものとして、ユーザーの端末が自由に操作できなくなる、ランサムウェアと呼ばれる方法があります。ランサムウェアとは、英語で身代金を意味する「ransom(ランサム)」から名づけられた攻撃手法です。ユーザーのパソコンを動作不良にし、解除したい場合には一定額の入金を要求してきます。

解除に要する金額はさまざまですが、高いものだと100万円を超えるケースもあるので、注意しなければいけません。なお、ランサムウェアに感染する経路としては、SQLインジェクションによって秘密裏にリンク先が書き換えられていたアプリケーションが該当するケースがあります。ランサムウェアの感染源とならないためには、SQLインジェクションへの対策も怠ってはいけません。

被害を受けた企業から損害賠償請求される恐れも

webアプリケーションが不正侵入を受けたときの被害は、情報が盗まれた企業の社会的な信用が落ちるだけではありません。企業の極秘資料が盗まれることによって関連する企業が損失を受けるケースもあります。すると、盗まれた企業に対して、責任を問うために損害賠償請求を行うケースが実際にあるのです。賠償金額は盗まれた情報の内容や、被害を受けたと考えられる金額によって異なりますが、数千万円程度になることも珍しくありません。

データを盗まれた企業は、それほどの金額を賠償しなければいけないのに加えて、信用回復に向けて新しいセキュリティ構築のためのコストをかける必要もあります。ただでさえ、顧客離れが起きている状態で、そうしたコストをかけるのは大変です。セキュリティ対策にはそれなりのコストはかかりますが、万が一攻撃を受けたときのことを考えるとコストパフォーマンスに優れていることもよくあります。

長期的な観点からwebアプリケーションの脆弱性対策について考えよう

サーバーのセキュリティ対策としては、アプリケーションを守ることが特に重要です。webアプリケーションのセキュリティは、ネットワークやシステムに比べて難易度が高く、コストもかかりがちですが、万が一の事態を想定すると対策しておいたほうが無難だといえます。コストパフォーマンスを確認しながら、長期的な観点で検討してみましょう。

  • DDoS攻撃対策|導入社数、導入サイト数No.1|選ばれ続ける理由とは?クラウド型WAFでWebセキュリティ対策|今すぐ無料でダウンロード
  • サイバーセキュリティの累計5,000サイト以上の導入実績。多数の事例から、導入までの経緯と抱えていたセキュリティ課題の解決方法をご紹介|今すぐ無料でダウンロード