Webサイトを運用していても、「Webサイトのセキュリティ対策がしっかりと行えていない」というケースは珍しくありません。
ネット上には多くの脅威が存在しており、この脅威からWebサイトを守るためにはセキュリティ対策をきちんと行わなければなりません。
本記事ではWebセキュリティの基礎知識と対策について、サイバー攻撃の被害を防ぐにはどうすれば良いのかをご紹介していきます。
Webセキュリティの基礎知識
Webセキュリティの基礎知識として、「Webセキュリティとはどのようなものか」を初めに詳しくご紹介します。
Webセキュリティとは?
インターネットの普及が進むにつれ、さまざまな個人・企業がWebサイト運用を開始しました。
このWebサイトにて社内の情報発信を行ったり、製品・サービスの提供をしたりという企業も多く、Webサイトは「企業・顧客」をつなぐための大切な役割を担っているのです。
ただしインターネット上には常にたくさんの脅威が存在しており、Webサイトはこの脅威に24時間さらされていることになるため、運用を行う際にはセキュリティ対策をきちんと行わなければなりません。
そして、このようなさまざまな脅威からWebサイトを守るための対策のことを、「Webセキュリティ」と呼ぶのです。
ネット上に潜む脅威
「サイバー攻撃」は、Webサイトがさらされる脅威の種類として代表的なものです。
サイバー攻撃は、パソコン・サーバーの内部に第三者が勝手に侵入し、何かしらの攻撃を仕掛けることを意味します。
インターネット上のすべてのWebサイトがこのサイバー攻撃の対象に含まれているため、常に注意が必要な脅威なのです。
サイバー攻撃の数は増加傾向
スマートフォン・タブレット端末などの普及に伴って、ビジネスシーンだけでなくさまざまな場面で必要とされている「Webサイト」。
そんなWebサイトに着目し、Webサイトの「脆弱性」を狙ったサイバー攻撃も近年増加傾向にあるのです。
そして、サイバー攻撃のターゲットとなっているのは大企業だけではありません。
セキュリティ対策が万全ではない大企業の取引先・仕入れ先などの中小企業を集中的に狙い、サイバー攻撃を仕掛ける「サプライチェーン攻撃」というものも年々被害が増えてきているのです。
サイバー攻撃を受けたらどうなるのか
運用中のWebサイトがサイバー攻撃を受けると、さまざまな被害が出てしまいます。
具体的なものとしては、「サーバーに大きな負荷がかかる」「Webサイト内の情報書き換え」などが挙げられます。
サイバー攻撃によりWebサイトのサーバーに大きな負荷がかかってしまい、サイトがパンク状態になってしまったり、アクセスができない状態になってしまったりという恐れがあるのです。
また知らない間にWebサイトの情報が書き換えられていることもあるため、気をつけなければなりません。
・非常に大きなダメージとなる被害が「情報流出」
とくに企業にとって非常に大きなダメージとなるのが「情報流出」の被害です。
企業内の情報に留まらず、顧客先の情報まですべて外部に漏れてしまう危険性があるのです。
これが起きてしまうと、企業のブランドイメージ・信頼性が大きく下がってしまいます。
そのため、トラブルを未然に防ぐためにもサイバー攻撃に関しての知識・理解を深めていき、回避できるようにしっかりと対策することが大切なのです。
Webセキュリティの低さが招く被害・トラブル事例
Webセキュリティの低さが招いてしまった被害・トラブル事例の一つに「不正アクセスを受けた自治体Webサイトがランサムウェアに感染した例」があります。
ある自治体がWebサイトをリニューアルした際、サイトページの一部分に脆弱性が存在してしまいました。
攻撃者はその脆弱性を利用して、不正にWeb内部操作を行ったとされています。
代表的なサイバー攻撃の種類
以下に、代表的なサイバー攻撃の代表的な種類を挙げていきます。
XSS(クロスサイトスクリプティング)
「クロスサイトスクリプティング」とも呼ばれるXSS。
電子掲示板・SNSといった管理者以外の不特定多数の人物が情報を自由に書き込めるような場所に目を付けて、このXXSの攻撃が仕掛けられることが多いです。
その具体的な手口としては、既存のWebサイト上にURLリンクを貼り付けておき、悪意のあるWebサイトに誘導していくという流れがよく見られます。
この誘導先サイトには会員登録フォーム画面が用意されている傾向にあり、情報を入力することで個人情報が抜き取られたり、盗まれたりしてしまう恐れがあります。
もし企業のWebサイトがこの攻撃に遭ってしまうと、そのWebサイトのユーザーにも被害が及んでしまうこともあるので非常に危険です。
SQLインジェクション
SQLインジェクションは、勝手にデータベースシステムを操作する仕組みをもつサイバー攻撃です。
セキュリティ上の脆弱性を集中攻撃する手口が多いです。
この攻撃を受けると、Webサイト内の情報書き換え・情報消去といった被害に遭ってしまう可能性があり、注意が必要です。
また個人情報流出に加えて、Webサイトのデータ保管を行っているサーバーの乗っ取りに遭ってしまう危険性もあります。
SQLインジェクションの攻撃は、場合によって深刻なトラブルとなってしまうことも少なくないため、対策を行っておくことが大切です。
CSRF(クロスサイトスクリプティング)
「クロスサイトリクエストフォージェリ」とも呼ばれているCSRF。
サイトの情報入力フォームのほか、電子掲示版が設置されているWebサイトも攻撃のターゲットになりやすいです。
この攻撃を受けたWebサイトにユーザーが訪問すると、なりすまし行為の被害に遭うリスクも高くなります。
具体的な被害を挙げると、「通販サイトで自分が知らない間に商品が購入されてしまっていた」「SNSに投稿した覚えのないコメント・写真がある」などがあります。
ブルートフォースアタック(総当たり攻撃)
「忘れてしまわないようパスワードは覚えやすいものに設定している」という方も多いのですが、これは非常に危険な行為です。
「8桁もあるから簡単な数字でも問題ないはず…」と思われる方もいます。
しかし実際のところ、8桁ほどのパスワードでは簡単に解除されてしまう可能性があるのです。
自動作成したパスワードを、ログインに成功するまで一つずつパターンを変えて試していく「ブルートフォースアタック(総当たり攻撃)」という攻撃法。
こちらの攻撃法でパスワードの組み合わせを自動で何通りも作成してしまえば、不可能と思われるパスワード解除も可能になってしまうのです。
基本のWebセキュリティ対策
下記に、基本のWebセキュリティ対策についていくつかご紹介します。
ファイアウォールの活用
ファイアウォールとは、ほとんどのパソコンに始めから備わっているセキュリティシステムを指します。
日本語にすると「防火壁」という意味があり、さまざまなWeb上の外的脅威からパソコンを守る機能が備わっているのです。
パソコンをインターネット上に接続する際には、ポートの開け閉めが行われますが、このポートは多くの情報が行き来しており、パソコン内部に悪意のあるウイルスが入り込もうとすることがあるのです。
ファイアウォールはこのようなウイルスをすばやく検知してポートを閉じ、外からの侵入を防止する役割を担っています。
中には自分が気づかぬうちに、ウイルス感染が起きているファイルをパソコン内に所持してしまっている場合もあります。
そのような場合でもこのウイルスが流出してしまわないよう、このファイアウォールがパソコンアクセスを遮断してくれるのです。
ウイルスの広がりを抑え、被害を最小限に留められるため、セキュリティ強化のためにもこのファイアウォールを上手に活用するのがおすすめです。
IPS、WAFなどセキュリティシステムの導入
・IPS(Intrusion Prevention System):侵入防止システム
WebサーバーへのアクセスにはWebページの閲覧・メール送受信などの通信だけでなく、サーバーに侵入しようとする不正通信も含まれています。
不正通信の中には、「DoS攻撃」という1秒の間に数百・数千のアクセスを行う攻撃法があります。
「IPS」はそういったリアルタイムな不正通信を迅速に感知し、不正アクセスを破棄・通信を遮断する機能を備えています。
リアルタイムに動けるため、サーバーへの負荷が大きくなってアクセスができなくなってしまったり、サーバーのセキュリティホールが攻撃により破られてしまったりということを防止することができます。
前項でご紹介したファイアウォールはポートを制限するセキュリティ対策でしたが、このIPSはファイアウォールで防止していないポートを集中的に狙った不正アクセスを遮ってくれるのです。
一層高度なセキュリティ対策が求められる場合、ファイアウォールとともにこのIPSを利用すると良いでしょう。
・WAF(Web Application Firewall)
「WAF」はWebにアクセスされた際、パラメータ・サーバーがユーザーに返却しようとしているデータをリアルタイムで監視しており、これまでの蓄積データと照らし合わせ「これはハッキングパターンである」と判断した場合に、データ送受信停止を行い、情報が流出してしまうことを防止してくれる仕組みです。
このセキュリティ対策を利用すれば、SQLインジェクションやCSRF(クロスサイトスクリプティング)などの攻撃だけでなく、ブルートフォースアタック(総当たり攻撃)をも防止することが可能なのです。
現在、大手レンタルサーバー会社が持つ共用のサーバーでは、このWAFが標準装備されていることが非常に多くなりました。
ただ、レンタルサーバー会社により設定の方法は異なるため、「自身のサーバーはWAFが有効になっているのかどうか分からない…」という場合にはすぐ確認するようにしてください。
webアプリケーションのアップデート
Webアプリケーションのアップデートを長期間行っていないと、脆弱性が外部に発見されてしまう恐れがあります。
発見されてしまうと脆弱性をめがけてサイバー攻撃がされてしまうため、注意しなければなりません。
この脆弱性はプログラムの不具合で生じてしまうことがほとんどで、アプリメーカーから都度修正プログラムが発表されています。
サーバー攻撃のターゲットになってしまわないよう、できる限りこまめにWebアプリケーションが最新であるかどうか・アップデート通知が来ていないかを確認し、更新するようにしましょう。
脆弱性診断
「脆弱性診断」は、ファイアウォールや侵入防止システムであるIPS(Intrusion Prevention System)といったネットワークのデバイスに加え、アプリケーションの脆弱性を検査してくれるサービスです。
リスク度合いに応じた対処の優先順位を示してくれたり、これまでに生じた脆弱性に対しての対処法を提供してくれたりします。
おわりに
本記事ではWebセキュリティの基礎知識と対策について、サイバー攻撃の被害を防ぐにはどうすれば良いのかをご紹介しました。
現在、「Webサイト」というものはビジネスではもちろん、それ以外のシーンであってもあらゆる場面で非常に多く活用されています。
しかしそのような点に着目して、不正アクセス・侵入などを行う攻撃者も年々増加しています。
この脅威を回避するため、ご紹介した方法を参考にセキュリティ対策を万全に行い、大切なWebサイトを守っていきましょう。