Web制作・運営で理解しておくべきセキュリティのポイント!脆弱性・リスクや重要な対策を分かりやすく解説
Webサイトなどに対するサイバー攻撃は日夜進化しており、ある意味でセキュリティ対策とはいたちごっこ状態になっています。「Web制作をする際に、どの程度のセキュリティ対策を講じるべきか悩んでいる」「十分なセキュリティ対策をしたいが費用が不安」といった方もいることでしょう。
そこでこの記事では、の記事では、サイバー攻撃の現状やWebサイトにおける脆弱性・リスク、重要対策について分かりやすく解説しますので、ぜひ参考にしてください。
目次
1.Webサイト制作・運営でセキュリティ対策が重要な理由
国内におけるコンピューターのウイルス感染や不正アクセスの被害を取りまとめている独立行政法人情報処理推進機構(IPA)セキュリティセンターのデータに基づき、2022年の状況を概観してみましょう。
2022年のウイルス感染届出件数は560件で、2021年の878件より3割以上減少しています。その一方で感染被害届出件数は188件と前年の62件のほぼ3倍に達しました。
このうち145件は「Emotet」と呼ばれる、情報の窃取に加え他のウイルスへ感染させるためにも使われるウイルスの被害です。このほか、感染したデバイスへのアクセスを制限し、解除のために身代金を要求するランサムウェアの被害も依然として発生しています。
次に不正アクセスについて見ると、2022年は届出226件・被害187件で、前年(届出243件・被害197件)よりどちらもやや減少しています。
参考:「コンピュータウイルス・不正アクセスに関する届出」独立行政法人情報処理推進機構(IPA)セキュリティセンター
特徴的なのは、感染件数が減少したのに被害件数は大幅に増加した点です。万が一にもウイルスに感染したり、不正アクセスされたりした場合に甚大な影響・被害が発生する可能性を考えれば、企業にとってWebのセキュリティ対策を継続的に強化していくことが欠かせません。
2.Webサイト制作・運営で対策すべき主な脆弱性・リスク
Webサイトにおける脆弱性は多くの場合、Webサーバー、ネットワーク、Webシステム、データベースのいずれかに現れます。逆にいえば、サイバー攻撃はこれらを対象に行われるものが多いということです。
ここでは、代表的なサイバー攻撃の方法を紹介し、それぞれの原因となる脆弱性と発生し得るリスクについても解説します。
2-1.SQLインジェクション
Webアプリケーションで利用するデータベースを動かすための言語であるSQLを用いてデータベースを不正に操作するための命令を注入(インジェクション)することを指します。例えば、問い合わせフォームの入力情報に、データベースにある個人情報をダウンロードさせる命令を埋め込み送信するといった方法です。
SQLインジェクションによってデータベースが不正に操作されてしまうと、クレジットカードなどユーザーの個人情報漏洩や不正なWebサイトへの誘導、自社サイトの改ざんといった被害が発生し、企業にとって重大なダメージとなる可能性があります。
2-2.クロスサイト・スクリプティング(XSS)
クロスサイト・スクリプティング(XSS)は、「不正なスクリプト(プログラム)を挿入することによってWebアプリケーション操作する」もので、方法としてはSQLインジェクションと同様に、問い合わせフォームなどが利用されます。
クロスサイト・スクリプティングで操作しようとする対象はWebページで、利用するスクリプトはJavaScriptやHTMLタグです。クロスサイト・スクリプティングによる具体的な被害としては、cookie情報を利用した不正アクセスや入力フォームを通じた情報収集、偽サイトを使ったフィッシング詐欺などが発生しています。
2-3.CSRF(クロスサイト・リクエスト・フォージェリ)
クロスサイト・リクエスト・フォージェリ(Cross Site Request Forgeries)とは「サイト横断的リクエスト偽造」という意味です。不正な要求(命令)をWebサイトに送り込むという点は先の2つと同様ですが、方法が異なります。
具体的には、まず攻撃者はリンクやメールなどを利用して罠となるWebサイトにユーザーを誘導します。そして、ユーザーがログインしている他のWebサイトに対して、不正な操作をするリクエストを送り込むのです。典型的な例として、ネットバンキングでの送金やECサイトでの決済といった操作が挙げられます。
2-4.DoS/DDoS攻撃
DoS(Denial of Service attack)攻撃とは、ターゲットとするWebサイトに大量のデータやリクエストを送り付けることでサーバーに大きな負荷をかけ、システムをダウンさせるものです。DDoS(Distributed Denial of Service attack)攻撃はDoS攻撃の進化版で、複数のデバイスを使ってより大量のデータやリクエストを送り付けます。
不正操作による情報窃取などの被害は発生しませんが、システムダウンが長時間にわたれば大きな機会損失につながります。最近ではその特徴を利用して、DDoS攻撃を予告し、中止と引き換えに身代金を要求する脅迫行為も増えています。
2-5.ディレクトリ・トラバーサル
ディレクトリ・トラバーサル(Directory Traversal)とは、Webサーバーの非公開ファイルにアクセスし、情報の取得やデータの改ざん・削除をするものです。公開ファイルのあるディレクトリから非公開ファイルのあるディレクトリへ横断する(traversal)ように移動してファイルを不正に閲覧することが、名称の由来とされています。
Webサイト制作で使われるCMS(コンテンツ・マネジメント・システム)の代表格であるWordPressは、オープンソースであり、ファイルやディレクトリ構成もよく知られています。このことを悪用して、ディレクトリ・トラバーサルにより設定ファイルの情報を読み取り、不正を働くケースが少なくありません。
2-6.OSコマンド・インジェクション
OSコマンド・インジェクションは、脆弱性のあるWebアプリケーションを介して外部から不正なOSコマンドを送り込み実行するものです。攻撃方法としては、SQLインジェクションやSQLインジェクションと同じタイプに分類できます。
コンピューターなどの基本ソフトウェア(OS)を操作するための命令であるOSコマンドを利用するため、データベースにある情報の取得・改ざん・消去などはもちろん、マルウェアなど不正なソフトのインストールやデバイスの遠隔操作といったことも可能になります。
2-7.その他の注意すべき脆弱性・リスク
上記6つの他にもWeb制作において対策が必要となる脆弱性・リスクもあります。
2-7-1.セッション管理の不備
Webサイトでユーザーを区別するために発行するセッションIDを取り込み、不正ログインなどをするものです。なりすましによる迷惑投稿やクレジットカードの不正使用といった被害につながります。
2-7-2.HTTPヘッダ・インジェクション
WebブラウザとWebサーバーとの間でやりとりする情報を定義するHTTPヘッダに悪意を持った情報を埋め込み、偽のページに誘導するなどして、個人情報を取り込むものです。
2-7-3.HTTPSの不適切な利用
HTTPSは、WebブラウザとWebサーバーとの間で情報をやりとりするHTTPのセキュアバージョンで、信頼された第三者機関から安全性を保証する証明書が発行されます。この証明書が期限切れとなってしまうとユーザーからの信頼性低下につながるだけでなく、悪意あるハッカーによってセキュリティに脆弱性があるとみなされ攻撃の対象となる可能性もあるのです。
2-7-4.ブルートフォースアタック(総当たり攻撃)
パスワードなどを大量に自動生成し、ログインできるまで試して成功したサイトに対してDDoS攻撃などを行うものです。あるパスワード解析サイトによると、8ケタの文字列はアルファベットのみだと20分程度、アルファベットと数字でも1時間程度で解析できるとされており、簡便なパスワードのリスクが高いことは明らかでしょう。
3.Webサイト制作・運営で行うべきセキュリティ対策5選
解説する5つのセキュリティ対策はどれも重要ですが、とりわけ「パスワードポリシーの設定と適用」「脆弱性診断やペネトレーションテストの実施」はWebサイトを運営する企業が主体的に取り組むべき課題であることには、特に留意してください。
3-1.ファイアウォール導入
ファイアウォールとは、安全な通信かどうかを判断し社内などのネットワークを保護する仕組みです。ファイアウォール導入により、設定したルールに基づかない通信を遮断ができます。このため、外部からの不正アクセスなどのサイバー攻撃を防ぐだけでなく、組織のルールに反した外部への通信を防ぐ役割も果たします。
ただし、設定した通信ルールに基づいて行われるサイバー攻撃は当然防ぐことはできません。例えば、「なりすまし」による不正アクセスなどです。
3-2.WAF(Web Application Firewall)導入
WAF(Webアプリケーション・ファイアウォール)は、Webアプリケーションに特化してサイバー攻撃を防ぎます。SQLインジェクションやクロスサイト・スクリプティングなど、Webアプリケーションへの攻撃はファイアウォールではブロックできないため、Webサイトを運営する企業には必須の対策といえるでしょう。
WAFには、導入形式や検知の仕組みなどによって、物理的な機器を設置するアプライアンス型、サーバーにインストールするソフトウェア型、ベンダーがSaaS提供するクラウド型といった種類があります。
3-3.IPS(不正侵入防止システム)
IPSは、サーバーへの不正なアクセスやDoS攻撃のような異常な通信をリアルタイムに検知して報告し、その通信をブロックするといった機能を持っています。
なお、不正と判断した通信をブロックするIPSで誤検知が発生した場合、業務に大きな支障をきたす可能性があるため、セキュリティリスクとのバランスを考慮した検知レベルの調整が重要になるでしょう。
3-4.パスワードポリシーの設定と適用
Webサイトやシステム・ネットワークレベルで行う外部からの攻撃に対する対策はもちろんのこと、内部からの不正な通信を防止するための社員に対する教育も重要です。
その際に基本となるのはパスワード管理です。先に紹介したように今や8ケタ程度のパスワードは簡単に解析できます。安易に推測できたり使い回したりしているパスワードは、アカウント侵害のリスクが極めて高いといえるでしょう。パスワードについては、文字の組み合わせやケタ数、変更頻度などの規則(パスワードポリシー)を周知徹底し、厳格に運用しなければなりません。
3-5.脆弱性診断やペネトレーションテストの実施
Webアプリケーションの脆弱性を網羅的に調べる脆弱性診断や疑似攻撃により運用面も含めたシステムの弱点を洗い出すペネトレーションテストなども、Webサイトを運営する企業が主体的に実施すべきものです。サイバー攻撃は日夜進化しているため、これらを定期的に実施することも欠かせません。
4.Webサイト制作・運営でセキュリティ強化に向けて意識すべきポイント
個人情報の漏洩などサイバー攻撃による被害がもたらす企業へのダメージ(実害・イメージ)を考慮すれば、先手のセキュリティ対策が必要なことは明らかです。一方で、攻撃を受ける企業側の対策は対症療法的にならざるを得ない面があります。このため、できるだけ後手を踏まないように注意しながら、継続的にセキュリティ対策を強化していくことが重要です。
4-1.専門家の知見・意見を取り入れる
Webサイトやシステムの制作・開発・運用を行っている企業は、一般企業に比べれば情報セキュリティに関する知見を有しており、その意見・ノウハウは活用しておきたいところです。
そのうえで、より高いレベルを目指し継続的にセキュリティ対策を強化していくためには、企業側・攻撃側双方に精通し、客観的な視点でアドバイスと対策実行ができる専門家の活用をおすすめします。
4-2.リスクと予算などのバランスを考える
セキュリティ対策は強化するほど安全性は高まりますが、費用がかかるうえにサーバーへのアクセス制限などが増えるため工程も複雑になり、業務のスピード感が失われる可能性があります。逆に、必要な対策を行わないままセキュリティリスクを恐れ、積極的なアクションを起こさないようになってしまうのも問題です。
運営するWebサイトの内容・特性を把握し、リスクと予算、期待できるビジネス上の成果などのバランスを考えて、どのような対策を行っていくのか決定すべきでしょう。
4-3.セキュリティに強い制作会社を選ぶ
多くの実績があり、これまでに制作したWebサイトでトラブルが発生していない制作会社であれば、基本的にはセキュリティに強いと考えられます。ただし、セキュリティ対策に普遍的なソリューションはなく、自社のシステムや体制に応じて最適な方法を選ぶことが重要です。
セキュリティに関する社内体制なども十分に確認したうえで、長期的な関係を構築できる制作会社を選ぶのがよいでしょう。
5.まとめ
2022年の日本におけるウイルス感染・不正アクセスの届出件数は前年より減少しましたが、このことはサイバー攻撃により被害を受けるリスクが低下したことを意味しません。
むしろWebサイトなどに対するサイバー攻撃は日夜進化しており、サーバーに加えたアクセス制限を解除するために身代金を要求するマルウェアなど手口も多様かつ巧妙になっています。
こうした状況下でセキュアかつ円滑にWebサイト運営を行うには、セキュリティに強い制作会社を選んだり、セキュリティ専門家の意見を取り入れたりしながら、自社にとって最適な運営方法を模索することがポイントになります。
調査/分析
Webサイトの戦略を策定するために、ユーザビリティ・アクセシビリティの観点から、アクセスログ解析やヒューリスティック調査、ユーザー調査などで現状のWebサイトを分析していきます。
REFERENCE