ネットセキュリティ対策に求められる5個のポイント

 2017.09.01 Secure Enterpriseポータル

世界中で最もサイバー攻撃の脅威が潜んでいる場所が「インターネット」です。ほとんどのサイバー攻撃は、インターネットを介して行われるものだと言えます。このため、組織内でインターネットを利用したり、Webサイトを公開する際は、厳重なセキュリティ対策のもと、機密情報を守らなければなりません。

しかし、実態として十分なセキュリティ対策を講じていないという企業の方が、多く存在します。IPA(情報処理推進機構)の調査によれば、情報セキュリティ対策の実施状況に対しい「組織的に行っていない(各自対応)」と回答した企業は57.5%にも上ります。

引用:IPA「2016年度 中小企業における情報セキュリティ対策に関する実態調査

もちろん、サイバー攻撃は企業のセキュリティ対策を待ってはくれません。セキュリティが甘い企業に関しては容赦なくターゲットにされ、たちまち機密情報が搾取されてしまいます。

そこで今回は、多くの企業が押さえるべき、ネットセキュリティ対策のポイントについて紹介していきます。

ポイント1.インターネット上の脅威について知る

まず大切なことは、インターネット上にどのような脅威が潜んでいるかを知ることです。企業がセキュリティ事件を起こしてしまう原因は「ウイルス感染」だけではありません。実に様々な脅威が、日常的に潜んでいます。

≪インターネット上の主な脅威≫

  • SQLインジェクション…データベースを操作するための実行言語であるSQLを不正利用し、Webサイトの入力フォームからデータベースを不正に操作する
  • クロスサイトスクリプティング…Webページに不正スクリプト(簡易プログラム)を埋め込まれ、ページを開いたユーザーの個人情報などが奪われる
  • パスワードリスト攻撃…他サイトから搾取したIDとパスワードを使用して、不正ログインを試みる
  • DoS攻撃…特定のWebサイトに処理負荷を集中させ、サービス停止に追い込む
  • 水飲み場攻撃…ターゲットが閲覧するWebサイトにウイルスを仕込み、Webサイトに訪問した際に不正ダウンロードさせる

このように、インターネット上には多数の悪質な脅威が潜んでいることがわかります。これらの脅威について十分理解した上で、何を行うべきかを知ることが大切です。

ポイント2.基本的なセキュリティ対策を講じる

基本的なセキュリティ対策とは、ウイルス対策ソフトやファイアウォールといって、従来当たり前とされてきたセキュリティ対策を指します。現代のサイバー攻撃に対し、これら基本的なセキュリティ対策ではすでに不十分という考えがあります。しかし、「必要ない」というわけではありません。基本的なセキュリティ対策を講じることも、ネットセキュリティ対策の強化に繋がります。

ウイルス対策ソフトを導入していれば、Webサイト閲覧時に不正ダウンロードされたウイルスを排除できる可能性があります。ファイアウォールは、外部からの不正侵入を防げる可能性があります。

ただし、これらの基本的なセキュリティ対策さえ取っていれば問題ないという誤解をしている場合は、考えを改め、総合セキュリティを検討する必要があります。

ポイント3.クラウドサービスの利用規約を理解する

ここ数年でクラウドサービスは一気に市民権を得て、いよいよビジネスの中心となりつつあります。企業規模を問わず、ほとんどの企業が何らかの形でクラウドサービスを導入している、という時代に差し掛かりました。

特に、オンラインストレージの導入率が高く、多くの企業がインターネット上で情報資産を管理しています。

そこで注意しなければならないのが、クラウドサービスの利用規約です。たとえば、Googleが提供するオンラインストレージの利用規約には、ユーザーのデータを様々な用途で活用する、という規約があります。

こうした規約に気付かずサービスを利用してしまうと、思わぬところで情報漏えいが起きてしまう可能性があります。オンラインストレージは低コストで便利な反面、危険性があることも理解し、利用規約を細部まで理解した上で導入しましょう。

ポイント4.Webサイトセキュリティは、暗号化だけでは不十分

Webサイトを公開している企業のほとんどが「SSL暗号化通信が重要」だと認識しています。SSL暗号化通信とは、インターネット上の通信規格であるHTTP通信を暗号化し、第三者による傍受を防ぐものです。

しかし、「SSL暗号化通信があれば大丈夫」という誤解が多いのもまた事実です。

SSL暗号化通信を導入することで、第三者による傍受を防げることは確かです。ただし、あくまで「傍受を防ぐ」という部分に限定されており、その他のサイバー攻撃を防御できるわけではありません。

SSL暗号化通信を利用し、正常通信になりすますサイバー攻撃もあるので、SSL暗号化通信のみで全てのサイバー攻撃を防ぐことは、はっきりと言って「不可能」です。

最近では「SSL暗号化通信がサイトSEOに影響する」という情報が流通していることから、SSL暗号化通信はセキュリティ面よりも、むしろマーケティング面から導入を推奨する声が増えてきました。

ポイント5.WAFの導入を検討する

SSL暗号化通信だけでは不十分ということは、新たなセキュリティツールを導入する必要があります。では、Webサイト保護のためには、どのセキュリティツールが最適なのでしょうか?

その答えが「WAF(ウェブ・アプリケーション・ファイアウォール)」です。名前だけなら聞いたことがある、という方も多いのではないでしょうか。簡単に言えば、WAFとは「Webサイト保護に特化したファイアウォール」です。

通常のファイアウォールはサーバのポート(通信の出入り口のようなもの)を制御することで、外部からの不正通信や、内部からの不正アプリケーション利用を防ぐセキュリティツールです。しかしファイアウォールといえど、完全にポートを制御できるわけではありません。

例えばHTTP通信を行うためのポートに関しては、業務上公開していなければならない、という事情があります。攻撃者はそこを狙い、Webアプリケーション(WebサイトやWebサービスを提供するためのソフトウェア)をターゲットに攻撃を仕掛けていきます。

しかも、最悪のことにWebアプリケーションは脆弱性(セキュリティ上の弱点)が多いソフトウェアなので、対策を講じていないといとも簡単に情報漏えいを許してしまうのです。

そこでWAFの登場です。WAFは、ファイアウォールでは制御し切れない、「HTTP通信の中身」を精査することで、正常通信か不正通信かを判断します。このため、WAFは先に紹介したSQLインジェクションやクロスサイトスクリプティングといった、Webサイトを狙ったサイバー攻撃に大変有効です。

まとめ

ネット上の脅威は、おそらく今後も拡大していきます。それは、社会の情報化・デジタル化が進む限り無くなりません。次々と新たな脅威が生まれ、その度に多大な被害が発生します。しかし、ビジネスを円滑に進めるためには、もはやインターネットは欠かせない存在です。だからこそ、ここで紹介した5つのポイントを押さえ、自社のネットセキュリティ対策を強化する必要があるのです。