どこまでやるべき?
Webサイトのセキュリティ対策
情報セキュリティ事故は途絶えることがありませんが、「Webサイトのセキュリティ対策」と聞いて何を思い浮かべますか?
サーバ・インフラの管理 :バックアップ運用、パフォーマンス
ネットワークセキュリティの管理:ファイアウォールの構築、暗号化・認証方式
アプリケーションの管理 :バージョン管理、アクセス権の設定、脆弱性対応
ウイルス対策 :ウイルス対策ソフトの利用
など、安全運用を維持するための検討事項は多数あります。
Webサイト立ち上げ時に、何をどこまで、どの程度のコストを投じて対策するべきか、Web担当者やIT担当者が悩むところですよね。
本章では、Webサイト立ち上げ時に対策しておくべきセキュリティのポイントをお伝えします。
1.減ることのない情報漏洩のリスク
国内における情報セキュリティインシデント(情報漏洩やWebサイトの改ざん)は、ここ数年で件数は減少傾向にあるものの、新たな攻撃手法なども出てきており今後も継続的な対策が必要です。
|
|
(出典:独立行政法人情報処理推進機構(IPA) |
最近のWebサイト攻撃は、その技術力の誇示や、政治的・社会的な主張を目的としたものだけでなく、利益を得るための攻撃が増えています。そんな中、Webマーケティング施策でお客様の情報取得や会員化を目指す上で企業側が気をつけなければいけないのが、情報の取り扱いや保管方法です。
万一、顧客情報が流出した場合、サービス停止や損害賠償といった企業にとって甚大な損害を生み出す可能性があるのは周知のとおりです。さらに攻撃の対象は、大企業や著名なサイトに限らず、小さな町の観光情報サイトや飲食店サイトの場合もあれば、取引先である大企業を狙うための踏み台として自社のシステムを悪用される場合もあります。また損害は、賠償額だけでなく、企業にとって信用失墜の方がリスクは大きく、風評被害やブランドイメージの棄損により、事業中断による売上低下にも波及します。
2.サイトの脆弱性・セキュリティ診断
|
|---|
Webサイトを立ち上げる際には、いかなる場合も堅牢なサイトを目指されると思いますが、現実的には、全く脆弱性がなく、セキュリティホールなど存在しない状態を作り出すことは困難です。
自社のチェックだけでは発見できない点もあるため、サイト構築後、外部の脆弱性診断やセキュリティ診断を受けることも有効です。
3.常時SSL化
|
|---|
「常時SSL化」とは、ログインページや決済ページなどの一部のみではなくWebサイト全体をHTTPS化することです(httpではなくhttpsと表示される)。
通信を暗号化することで通信内容の盗聴や改ざん、なりすましなどを防ぐことができます。
常時SSL化されたサイトは、Googleなどの検索順位も優遇されるアルゴリズムになっています。
※Google Chromeではアドレスバーにhttpから始まるURL情報を入力するとURLの左側に「保護されていない通信」と表示されます。
さらにもう一つのメリットとしては、常時SSL化することで「http/2」のプロトコルを利用できるようになり、「http/1.1」と比べてWebサイトの表示速度向上にも寄与します。
以上のことからも、Webサイト構築時には必須の対応と言えるでしょう。ただし、常時SSL化するには、ドメインごとにSSLサーバ証明書(有料)が必要になる点も留意しましょう。
4.ネットワークのセキュリティ対策
|
|---|
ネットワークのセキュリティ対策についていくつか例を挙げます。
①ファイアーウォールで通信をフィルタリング
外部からのアクセスを常に監視し、不正なアクセスをブロックするためのシステムです。
②ルータなどで外部からの不要な通信を遮断
③WAF(Webアプリケーションファイアウォール)、IDS/IPSの導入
WAFは、ファイアーウォールやIPS/IDSでは防ぐことができない
Webアプリケーションの脆弱性を悪用したサイバー攻撃を防ぐことができます。
④ログの管理
万一、有事の際にも原因特定までの時間短縮が期待できます。
5.Webサーバのセキュリティ対策
|
|---|
テストアカウントや特権ユーザ、退職者、外部委託者用のアカウントなどの管理をし、不要なアカウントは削除するようにしましょう。
また、アカウントの追加・削除だけでなく、パスワードの設定・管理、ファイルやディレクトリへのアクセス権の付与・制限など、適切に、できる限り細かく設定することも忘れてはいけません。アカウント一覧を作成して確認することをお勧めします。
6.Webアプリケーションのセキュリティ対策
|
|---|
Webサイトが改ざんされる原因には、Webアプリケーションやプラットフォームの脆弱性を悪用されるケースと、認証を突破されるケースが挙げられます。
Webアプリケーションの脆弱性は、以下のようなものがあります。
・SQLインジェクション
・OSコマンドインジェクション
・ディレクトリトラバーサル
・クロスサイトスクリプティング(XSS)
・バッファオーバーフロー
①不要なファイルやシステムファイルを公開しない
Webページの改ざんを防ぐためにも、システムファイルはインターネット上からアクセスできない場所に保管し、不要なファイルやページは適宜削除するといった対策が有効です。
②ソフトウェアの脆弱性対策
Webアプリケーションは、様々なソフトウェアやフレームワークを利用して構成されているため、Web担当者は、Webサイトにどのようなシステムが使われているのかを把握し、迅速な脆弱性対策がとれるようにする必要があります。
使用しているソフトウェアに脆弱性が発見された場合、バージョンアップなどの対応が必要になることもあります。
ただし、ソフトウェアやフレームワークの組み合わせによってはバージョンアップの影響でWebアプリケーションの動作に影響が出る可能性もあるので、テストサイトでの検証も大切です。
③Webアプリケーションのログ管理
ネットワークのセキュリティ対策と同様、ログは、万一、事故やトラブルが発生したときの原因特定に大切な情報源です。
日々蓄積されるログデータでサーバの容量を圧迫しないように、ログの運用管理方法も考えておきましょう。
7.Webサイト改ざんの対策
|
|---|
Webアプリケーションの脆弱性と対策については、6.Webアプリケーションのセキュリティ対策のとおりですが、攻撃されやすいものとして、サーバOS、Webサーバソフトウェア、フレームワークのほか、CMS自体やCMSのプラグインの脆弱性があります。
無料で使用できるため世界的にも圧倒的シェアを占めているCMS「WordPress」ですが、有名なオープンソースであるために攻撃の対象になりやすいというデメリットも考えられます。
有名なもの=狙われやすい
オープンソースCMSはプログラムに脆弱性が見つかった際、世界中のエンジニアが修正されたアップデート版を作成し公開します。ただプラグインの場合は、自動でアップデートされませんので、利用者側でプラグインが最新かどうかを確認しアップデートする必要があります。
プラグインの多くは有志のユーザによって開発されているため、オープンソースCMSの最新バージョンに対応していない場合があり、それに気づかずアップデートを行うとプラグインが正常に作動せずエラーやトラブルが発生する可能性もあります。そういった事態を避けるためにもセキュリティアップデートを行う際は、利用しているプラグインが最新のバージョンに対応しているか確認、テスト環境を構築し一度アップデートの検証を行いましょう。
<CMSについて特に注意すべき4つのポイント>
① 情報セキュリティ対策が実施されていること
② 利用している拡張機能の見直し
③ アカウントの適切な管理
④ 適切なアクセス権の設定と確認(管理ツールのログイン画面に対するアクセス制御を含む)
Webサイトを公開してから脆弱性を発見した場合は、できる限り早く対処するべきでしょう。最近では、脆弱性が公表されてから攻撃されるまでの期間が短くなっており、完全な防御は難しいのが現状です。
脆弱性対策と対処のいたちごっこからの脱却のためにも有効なソリューションが、改ざん検知です。
Webサイト改ざん検知システムは、大きく2パターンに分けられます。
1つは、監視プログラムを監視対象のWebサーバに導入するエージェント型、
もう一つは、リモートでWebサーバのファイルを監視するクラウド型です。
| エージェント型 | クラウド型 | |
|---|---|---|
| 検知方法 |
原本比較 正となる原本を事前に用意しておき Webサイトを比較する ハッシュ値比較 ダウンロード元のファイルと ダウンロードしたファイルを 「0」と「1」からなるデータを 一定の法則で同じ長さに短縮した 数値にして比較することでファイルの 同一性を確認する |
パターンマッチ データ群の中からある特定のパターンに 一致あるいは類似するデータを探し出し 確認する ふるまい分析 ウイルスが動作する際の、 正常なプログラムとは違うウイルス特有の 動作をすることを手がかりに検知する |
| メリット | ・リアルタイム検知が可能 |
・サーバ負荷が小さい ・導入・運用が楽 ・複数サイト混在するサーバでの利用も可能 |
| デメリット |
・サーバ負荷が大きい ・導入・運用が難しい ・複数サイト混在するサーバでの利用は 難しい ・コンテンツ更新と改ざんの区別が難しい |
・リアルタイム検知は若干劣る ・認証が必要なコンテンツは対象外に なることが多い ・脆弱性をついた攻撃による改ざん検知は できない |
<Webサイト改ざん検知ツール選定のポイント>
① 目的に合っているか
検知方法によって特徴が異なります。守りたいWebサイトが改ざんされた場合の影響度に応じて、
どこまでの検知が必要なのか判断するべきです。
検知の頻度:リアルタイム検知なのか、リアルタイムでない場合、どの程度のタイムラグまで許容できるのか
監視範囲 :Webサイトのドキュメントルールはサイト全てを監視するのか、特定のフォルダやファイルのみ
管理するのか
② 自社の運用に合っているか
通常のサイト更新と改ざんの区別が明確になるよう運用する必要があります。
ただ、24時間管理画面に貼りついてログ監視することは困難なため、ツール側である程度切り分け、
通知、自動復旧できる機能が必要です。
③ 予算
Webサイトの改ざん対策には、改ざん検知ツールは有効ではあるものの、あくまでも攻撃された後の対策と
なるため、ネットワーク機器やサーバ側での対策など改ざん検知以外の対策と組み合わせた防御策として、
どの程度の費用をかけるべきか運用コストも踏まえて検討することが重要です。
本章では、Webサイト立ち上げをする際に考慮すべきセキュリティ対策についてお伝えしました。
Webサイト立ち上げの段階でこれらのセキュリティ対策を実施する・計画することでより安全なWebサイト運営を目指しましょう。
Webサイトセキュリティ勉強会(セミナー)の様子はこちらでご確認いただけます。
CMSの選び方・基礎を学びたい方へ
NORENに関する お申し込み・お問い合わせはこちら
資料請求・デモのご依頼など
NORENについて
