ホームページのセキュリティ対策とWAFの有効性について

 2017.08.01 Secure Enterpriseポータル

サイバー攻撃が日々深刻化している今、ホームページのセキュリティ対策は、企業の責務として付いてまわる問題です。顧客情報や社内情報を、第三者の手によって外部に漏らしてしまわないためにも、Webサイトのセキュリティ対策をしっかりと講じましょう。

とはいっても、具体的にホームページのセキュリティ対策はどうすればよいのかわからない方も多いのではないかと思います。単刀直入に言えば、ホームページには“WAF”というセキュリティ対策が有効です。

なぜWAFなのかそもそもWAFとは何か今回は、ホームページセキュリティにおいて、取るべき対策について紹介します。

SSL、ファイアウォールだけではホームページを守れない

ホームページのセキュリティ対策を少しでも気にかけている方であれば、SSやファイアウォールといった対策方法は耳にしたことがあるかと思います。Googleが提供するブラウザである、Googleクロームに表示されているWebサイトの中では、約60のWebサイトが何らかの形でSSLを利用しています。

しかし問題なのは、SSLやファイアウォールといったセキュリティ対策だけでは、ホームページをサイバー攻撃の手から守れないという事実です。

SSLとはホームページとユーザーのやり取りを、暗号化通信によって傍受不可能にするためのセキュリティ対策です。ただし、あくまで“傍受されない”というだけであり、社内ネットワークに侵入されてしまうかは関係がありません。 

そこで多くの企業がファイアウォールを導入して、ネットワーク間の通信を精査するというセキュリティ対策を取っています。しかし、ファイアウォールが精査するのは通信元がどこなのか、悪意のあるものなのかというところであり、通信の中身までは精査できません。

ですから、通常の通信を装ったサイバー攻撃を防ぐことが難しいのです。

狙われるのは、有名企業だけではない

ホームページを運用している企業の中には、「うちは中小企業だから狙われない」と安心してしまっている場合もあります。確かに、従来のサイバー攻撃といえば、大企業を狙うことが多かったでしょう。サイバー攻撃にもそれなりの労力がいるため、大企業を標的にした方が割にいいと判断していためです。 

しかし、サイバー攻撃の多くが自動化されている現代において、ターゲットとなる企業に規模は関係ありません。むしろ、次のデータのように、中小企業を狙ったサイバー攻撃が増加している傾向にあります。

  2011年 2012年 2013年 2014年 2015年
大規模企業 2,500人超え 50 50 39 41 35
中規模企業 251人2,500人 32 19 31 25 22
小規模企業 1人250人 18 31 30 34 43

シマンテックISTRレポート2017:「引用攻撃者は標的企業の規模を問わない」より 

上記のデータによれば、2011年2015年の5年間にかけて、小規模企業を標的にしたサイバー攻撃は、約半数に増加しています。すでに大規模企業の被害件数を上回っており、中小企業の情報セキュリティ事情が、いかに深刻化しているかがわかります。

ホームページへのサイバー攻撃にはどんな種類がある

サイバー攻撃といっても、その種類は多岐にわたります。メールに添付されている不正ファイルを言葉巧みに開かせようとする標的型攻撃、ユーザーがWebサイトにアクセスした途端不正プログラムが送信される水飲み場攻撃などがあります。

その中でも、ホームページを狙ったサイバー攻撃として最も多いのが、“Webアプリケーションを狙った攻撃”です。

そもそもWebアプリケーションは、Webサーバ上で稼働するソフトウェアのことであし、ホームページに備わっている機能のほとんどは、このWebアプリケーションによって稼働しています。会員ログイン機能も、情報入力フォームも、これらはすべてWebアプリケーションによって提供されています。

ホームページでは、そうしたWebセキュリティの弱点(脆弱性)を突き、管理者が意図していない挙動を起こさせ、情報収集やその他の目的に達します。具体的にいえば“SQLインジェクション攻撃”や、“DDoS攻撃”などが該当します。 

ホームページを守るWebアプリケーションを守る

上記のことから、ホームページにセキュリティ対策を施すというとは、Webアプリケーションを守ることだと言っても過言ではありません。もちろん、SSやファイウォールを導入することも対策です。しかいそれ以前に、直接的なセキュリティ対策となる、Webアプリケーション保護が最も効果のある対策でしょう。

Webアプリケーションを守るためのセキュリティ対策が、“WAF”です。WAFには「ウェブ・アプリケーション・ファイアウォール」という意味があり、文字通り、Webアプリケーション保護に特化した、ファイアウォールのようなセキュリティ対策です。 

しかしファイアウォールとの決定的な違いは、通信元だけではなく、通信内容を精査することにあります。ホームページとユーザー間ではHTTPという規格によって通信がされているのですが、WAFはこのHTTPの中身を精査することで、悪意のある通信かどうかを判断しています。

悪意があると判断すれば遮断し、正常な通信と判断すれば通す。構造は非常にシンプルですが、効果は絶大です。

WAFの基本

WAFがホームページを守る仕組みとしては、まずWebサーバとホームページの間に介在します。そこを通る通信を一つ一つ精査するわけですが、そのときに基準となるのが“シグネチャ”と呼ばれるパターンファイルです。 

シグネチャとは、特定の攻撃パターンや手法を膨大に記録したファイルのことであり、その内容と通信内容をとを比較することで、悪意のある通信なのかどうかを判断しています。いわば、ブラックリストのようなもので、故に“ブラックリスト方式”とも呼ばれています。

この他にも、“ホワイトリスト方式”と呼ばれる種類のWAFもあります。これは、ブラックリスト方式とは逆に、運営側で正常な通信内容を定義して、それに該当する通信のみを許可するという方式です。ホワイトリスト方式はセキュリティを大幅に向上できる反面、細かなパラメータ設定や定期的なメンテナンスが必要になるので、運用負荷が高いセキュリティ対策でもあります。 

まとめ

企業情報を発信したり、より多くのユーザーと接する機会を作ったり、見込み客を引き込んだりと、ホームページは今やビジネスの一部です。ユーザーに安心感を与えるためだけのものではなく、ホームページを起点としてビジネスが、多くの企業に強く求められています。攻撃者側もそうした事情を把握してか、サイバー攻撃は日々露骨さと狡猾さを増しています。皆さんのホームページを守り、顧客情報や社内情報を守り、ひいては企業の信頼と利益を守るためにも、WAFの導入をぜひご検討ください。