Webサイトのセキュリティ対策

メタにゃんのマンガで分かるシリーズ　顧客や取引先が狙われる?!　Webサイトへのサイバー攻撃

多層防御　WAF　ファイアウォール　IPS　安心してWebサイト運用できる「おりこうブログ」

◀ 前の話に戻る

一覧へ戻る

次の話に進む ▶

脆弱性(セキュリティホール)とは？

脆弱性(セキュリティホール)とは、ソフトウェアのプログラムの不具合や、サイバー攻撃を想定せず設計・構築されたシステム上の欠陥などセキュリティ上の穴になっている部分の事です。

人の手を使ってソフトウェアを作っている以上、この脆弱性をゼロにすることは不可能。Webサイトを狙ったサイバー攻撃では、この脆弱性を利用されることが多いです。

脆弱性を狙った代表的なサイバー攻撃

SQLインジェクション

企業Webサイト上のお問い合わせフォームなどにSQL文を混ぜて送信する(インジェクションする)ことで、データベースを不正に操作しようとするものです。

SQLはデータベースを操作する言語なので、SQLインジェクションを受けた企業Webサイトのデータベースは誤作動を起こし、それまでに蓄積されたお客様情報（これまで企業Webサイト経由でお問い合わせしたお客様の氏名・住所などの情報など）を攻撃者に提供してしまいます。

XSS(クロスサイトスクリプティング)

お問い合わせフォームの入力欄などを利用して不正なJavaScriptを埋めこみ、Webサイトを改ざんするという手法です。

XSSでは、訪問者のCookie情報を攻撃者に自動送信するようなJavaScriptを企業Webサイト内に仕込むことで、Cookie情報を盗み取ることが可能になります。これをセッションハイジャックと呼びます。

Webサイトのセキュリティ対策

WAF(ワフ)

WAFとはWeb Application Firewallの略で、ホームページなどのWebアプリケーションの保護に特化したセキュリティ対策のことです。

WAFは企業Webサイトへのアクセスをリアルタイムで監視します。そこで、SQLインジェクションやXSSを仕掛けるような動きを攻撃者が試みると「これはサイバー攻撃の可能性が高い」とWAFが自動的に判断し、通信を遮断してくれます。これまでのサイバー攻撃の手法から分析した攻撃パターンの情報(シグネチャ)をもとに攻撃を検知して、自動的に防御するのがWAFの仕組みです。

IPS

企業Webサイトに大量のアクセスをかけて、サーバーを機能停止に追い込むDoS攻撃。そのDoS攻撃への有力な対策がIPS(Instruction Prevention System、侵入防止システム)です。 IPSは企業Webサイトへのアクセスを監視し、DoS攻撃などの兆候を読み取ると、その通信を遮断して自動的に防御します。 DoS攻撃によって、サーバーがダウンさせられて企業Webサイトが閲覧できない状況に陥ると、多大な機会損失が発生します。そのような事態を防ぐためにも、企業WebサイトへのIPSの導入は効果的です。