【Webサイトのセキュリティ対策】サイト運営に潜むリスクとは?
インターネットは、現在の私たちの生活に欠かせなくなりました。
そして、現在は多くの企業がWebサイトを運用しています。知識と技術を身に付ければ、さまざまな視点からビジネスに活用できるWebサイトですが、その一方でサイト運営におけるリスクとセキュリティ対策に関しては、よく分かっていない方も多いのではないでしょうか。
そこでこの記事では、現在の日本のWebサイト運営におけるセキュリティの実情を踏まえ、Webアプリケーションのセキュリティ対策を中心に解説します。現在サイト運営をされている方やWebアプリケーションを導入している方、導入を検討している方はぜひ参考にしてください。
Webサイトにおけるセキュリティ対策の重要性
Webサイトの運営において、セキュリティ対策は切り離して考えることはできません。ここでは、セキュリティ対策の重要性について解説します。
セキュリティ対策の実情
自社の最新情報の発信や商品の販売などを行えるWebサイトは、便利な側面がある一方で、常にサイバー攻撃などのリスクも抱えています。
従来までのサイバー攻撃といえば、Webサイトを利用不能にしてしまうDoS(Denial of Service)が一般的でした。しかし、最近ではインターネットの進化に比例するように、サイバー攻撃の手口も多様化しています。
こうしたさまざまなサイバー攻撃に対して、Webサイトを運営している会社のセキュリティ対策が十分に施されているとは言えません。NRIセキュアが発行している「サイバーセキュリティ傾向分析レポート2018」によると、Webサイトを含めたセキュリティ診断の結果において、対象となる会社が運営するWebサイトのうち5.7%が「即座に攻撃可能な問題がある」「情報漏洩につながる危険性がある」という結果が出ています。
また、リスクや問題のあるWebサイトの割合は2015年を境に減少傾向にあるものの、依然として一定数存在しています。
そしてWebアプリケーションの調査結果では、対象となるWebアプリケーションの29.7%に、重要情報にアクセスされる危険性があるという事実が分かりました。Webサイトとは異なり、Webアプリケーションにおける脆弱性を取り除くためには適応するパッチの検証などが必須です。しかし、複数のアプリケーションが動作しているケースもあり、すぐに行動に移せない課題もあります。
サイバー攻撃の脅威
セキュリティ対策に対する意識が低いと、さまざまな形でサイバー攻撃を受ける可能性があります。現在日本で発生しているサイバー攻撃や被害の主な種類は、マルウェア設置・DoS/DDoS・情報漏洩・Webサイトの改ざんが挙げられます。
マルウェア設置
マルウェアとは、悪意のあるソフトウェアやコードを指します。マルウェアが設置されることにより、IPアドレスが乗っ取られてサイバー攻撃に利用されたり、パソコンの動作不良が引き起こされたりといった被害が発生します。感染の経路としては、メールやソフトのアップデートの際にマルウェアが設置されてしまうケースなどが挙げられます。一度感染したら多くのリスクを抱えてしまうマルウェアですが、セキュリティソフトとOSを常に最新の状態に保つことで多くの場合は予防できます。
DoS/DDoS
Webサイトに高い負荷をかけるDoSという手法が有名ですが、さらに悪質なDDoSという攻撃も存在します。これは対処しきれないほど多数のIPから攻撃を仕掛ける手口を指し、捜査の手がかく乱されるため攻撃元の特定も困難です。
情報漏洩
テレビやネットのニュースなどでたびたび報じられる情報漏洩は、多くの企業が悩まされている問題です。原因はシステムの誤作動やメールの誤送信などが主とされていますが、ご紹介したようなサイバー攻撃に起因する場合もあります。また、そのほかにもアプリケーションの脆弱性の隙を突いて情報を抜き取る事例なども多発しています。流出した情報は多くの場合、売買や妨害行為という形で悪用され、会社の信用を大きく低下させてしまうでしょう。
Webサイトの改ざん
また、Webサイトの改ざんもサイバー攻撃の一般的な手口です。書き換えられたWebサイトは既に乗っ取られている可能性が高いため、対応に時間を要するケースが多く、サイトの閉鎖が必要な場合もあります。ちなみに、すべての改ざんが目に見える形で行われているとは限りません。確認できない領域で既にマルウェアをダウンロードさせられていたり、改ざんされたWebサイトを通じて関連サイトの情報を抜き取られていたりするなど、想定よりも深刻な事態に発展している恐れもあります。
NICTの調査によると、サイバー攻撃の年間総観測パケット数は年々増加傾向にあり、2018年は約2,121億にのぼりました。これは、2008年の被害総額22.9億と比較すると、10年でおよそ100倍に膨らんでいることが分かります。さらに、前年の2017年の約1,504億と比べても、1年でおよそ1.5倍に増加しています。今後Webサイト・アプリケーションはさらなる発展を遂げると予想されていますが、その陰でサイバー犯罪がさらに増加する恐れがあることも軽視できないのです。
ホームページ制作の外注をお考えの方へ
【お問い合わせ】ホームページ制作のご相談はこちらからWebアプリケーションのセキュリティ対策
ここからは、Webアプリケーションのセキュリティ対策について解説します。
脆弱性対策を施す
Webアプリケーションが攻撃対象にされる主な原因として、脆弱性が挙げられます。Webアプリケーションは開発されてから日が浅いサービスも多く、十分なセキュリティ対策が施されていない場合も少なくありません。
そのため、脆弱性対策をしっかりと施したWebアプリケーションを構築することが大切です。では、具体的にはどの様な脆弱性があるのでしょうか。まずは、Webアプリケーションにおける代表的な攻撃方法を把握してみましょう。
SQLインジェクション
SQLインジェクションとは、不正な内容を含むデータ言語を攻撃対象のパソコンに注入する手法を指します。Webアプリケーションがこの攻撃を受けると、攻撃者によって任意のSQL文が実行できる状態になります。
その結果、本来ならば隠れているはずの情報がWebサイトやアプリケーションの検索欄から容易に検索できたり、アプリケーションのコード内容を自由に書き換えられたりといった弊害が生まれます。
SQLインジェクションで想定される被害としては、秘匿情報や個人情報の流出、Webサイトの改ざんが挙げられます。実際にゲーム用サービスにおいて、7,000万人を超える個人情報が盗まれたり、10万人を超えるクレジットカード情報が漏洩したりした事例があります。
クロスサイトスクリプティング
クロスサイトスクリプティングとは、脆弱性があるWebアプリケーション内に攻撃者があらかじめ罠を仕掛け、訪問者の個人情報を抜き取る攻撃方法です。想定される被害は、Webサイトの改ざん・セッションハイジャック・フィッシング詐欺が挙げられます。
クロスサイトスクリプティングは世界中で多数報告されており、個人サイトや小さな会社だけでなく、有名動画投稿サイトやSNSでも被害が多発しています。
また、実際にアプリケーション内に訪問しなくても、罠が仕掛けられた箇所をマウスオーバーしただけでスクリプトが実行される場合もあります。従って、「クリックしなければ大丈夫」という考えでWebサイトを閲覧するのは危険です。
OSコマンドインジェクション
OSコマンドインジェクションは、訪問者から数字の入力を受け付けるタイプのWebサイトで、不正に操作するプログラムをOSへの命令文に紛れ込ませる攻撃方法です。これによりアプリケーション開発者の意図しないコマンドが実行されてしまい、情報漏洩・改ざん・削除といった被害に繋がります。
実際に、アンケートや意見募集の際にアプリケーションに登録した60万人以上の個人情報が流出した事例もあります。その他にも、パソコンごと遠隔操作されてしまい、会社のデータを改ざんして取引先のデータを漏洩させたとして、無実の社員が犯人に仕立て上げられたケースもあるそうです。
バッファオーバーフロー
バッファオーバーフローは、攻撃対象に許容量を超えたデータを送付して、情報過多を引き起こす攻撃方法です。バッファオーバーフローを受けたサーバーは誤作動を起こすだけでなく、Webサイト・Webアプリケーションの管理者権限を奪われたり、ネットワーク犯罪の踏み台にされたりするリスクがあります。
SNSを始め、多くのWebサイト・Webアプリケーションが標的にされるバッファオーバーフローですが、2000年には中央省庁のデータが改ざんされる事件が発生し、世間を騒がせました。また、近年では仮想通貨の流通にともない、仮想通貨発掘プログラムに悪用されるケースも増えています。
脆弱性診断の実施
定期的にWebアプリケーションの脆弱性診断を行えば、危険にさらされているポイントを確認でき、多くのサイバー攻撃を防げます。脆弱性診断は無料・有料のサービスがありますが、幅広くWebアプリケーションの脆弱な箇所を把握し、確実に対応したい方は有料のサービスで診断すると良いでしょう。
問題解決のためには、 脆弱性診断などで問題箇所を把握しておくことが必要です。それによって今後導入すべきセキュリティソフトやツールの種類を検討しましょう。また、展開するWebサイト・Webアプリケーションのセキュリティ情報を常に万全にしておくことで、企業の信頼性もアピールできます。
不要なファイルは公開しない
訪問者が見る必要のないファイルは公開しないよう心がけましょう。最低限、インターネットからアクセスできない領域で保存・管理を行うか、不要であれば削除した方が安全です。悪意ある第三者がファイルにアクセスして書き換えられてしまう危険もあるので、情報の開示には注意を払いましょう。
ログを保管する
ログ管理は会社の内部統制や社員の勤怠などに用いられますが、外部からの不正なアクセスを監視する目的でも活用できます。ITツールが社会に浸透している一方で、ITリテラシーは人によってまだまだ差があるため、ログ管理の重要性が問われています。ログ管理を実施すれば、会社のシステムにいつ誰がどこからログインしているか明確になります。
従って、不正なアクセスがあれば即座に事態を把握でき、情報漏洩などの事件を未然に防げます。
定期的なアップデートの実施
システム・アプリケーションの発展は日進月歩です。そのため、常に最新のセキュリティを維持するために定期的なアップデートを心がけましょう。サイバー攻撃の仕組みはOS・ソフトウェアの脆弱性の隙をつく手口が多いので、できるだけ早く弱点を補うためのアップデートを行う必要があります。
また、サイバー攻撃とアップデートはイタチごっこの状態が続いており、アップデートを行ってもすぐに新たな脆弱性が発覚する場合があるため、常に最新の状態を保つことが大切です。
Webサイトのセキュリティ対策
この記事では、Webサイト運営におけるセキュリティの実情や実施すべきセキュリティ対策をご紹介しました。
Webサイトの運営に潜むリスクをしっかりと把握し、適切なセキュリティ対策を実施していきましょう。