Webセキュリティ管理者の仕事とは?理想のWEBガーディアンのプロフィール

 2017.04.06 Secure Enterpriseポータル

「自社で運営するWEBサイトを外部の不正な攻撃から守りたい」

この思いは、あらゆるWEBサイトの運営者が、日々気にかけている心配事です。

ファイアウォールや侵入防止システムだけでは守り切れないSQLインジェクションやクロスサイトスクリプティングなどの攻撃を防ぐためには、WEBサイトへのリアルタイムな監視と情報の流出を未然に防ぐ防御システムのWAF(Web Application Firewall)が必要になります。

しかし、その最後の砦となるWAFが完璧に機能するためには、テクノロジーに加えて理想的なWEBガーディアンとなるスキルの高いエンジニアの存在が不可欠なのです。

では、実際にどういったスキルが必要なのか、Webセキュリティ管理者の仕事内容とともにみていきましょう。

WEBセキュリティ管理者の仕事とは

求人サイトでWEBセキュリティや情報セキュリティ管理者の募集要項をチェックしてみると、その年俸は500万円から1000万円とスキルや経験年数によって違いがあります。

しかし、一般的に高い技術力と経験を有した情報セキュリティ管理者であれば、年収1000万円は下らないでしょう。それだけの人材がいなければ、WEBサイトを安全に保護していくためのWAFの運用が継続できないのです。

なぜでしょうか。

ファイアウォールのような防護壁であれば、あらかじめポート番号を設定してしまえば、あとは運用に手間がかかりません。また、侵入防止システムに関しても、不正な攻撃を検知した時点でアクセス元からの通信を自動で遮断できます。そのため、日々の運用やメンテナンスには、それほど手間がかかりません。

したがって、多くのWEBサイト運用者は兼務でファイアウォールや侵入検知システムを利用している例が多いのです。それに対してWAFでは、一度インストールしたら終わり、ではないのです。

その仕組みは、ウイルス対策ソフトの運用に似ています。

ファイアウォールや侵入検知システムでは検出できない巧妙な不正アクセスからWEBサイトのアプリケーションを守るために、毎日の運用保守が不可欠なのです。

その一例が、次の作業になります。

  • 外部からの攻撃パターンを認識する「ブラックリスト」を常に最新のファイルに更新
  • 出力される膨大なログを解析して、必要があればセキュリティ・ポリシーを変更
  • リアルタイムで発生する大量のログを保管し運用し解析
  • 自社のWEBサイトで実行しているWEBアプリケーションに合わせたカスタマイズやチューニング
  • シグネチャの更新と管理

こうした業務を継続的に行うだけではなく、常に最新の脅威に備えた情報の収集と技能の向上を継続しているからこそ、スキルの高いWEBガーディアンは、高い収入を得ているのです。

WEBアプリケーション保護に求められる高いスキルと専門知識

WEBガーディアンが守るべきWEBアプリケーションに対する外部からの攻撃は、代表的なものだけでも以下のようになっています。

  1. SQL インジェクション
  2. OS コマンド・インジェクション
  3. パス名パラメータの未チェック/ディレクトリ・トラバーサル
  4. セッション管理の不備
  5. クロスサイト・スクリプティング
  6. CSRF(クロスサイト・リクエスト・フォージェリ)
  7. HTTP ヘッダ・インジェクション
  8. メールヘッダ・インジェクション
  9. クリックジャッキング
  10. バッファオーバーフロー
  11. アクセス制御や認可制御の欠落

悪意のある攻撃者は、これらの攻撃パターンを組み合わせて、自動化したプログラムにより24時間365日の攻撃を行っています。

そして、少しでもWEBアプリケーションの脆弱性が発見されると、そこに対して執拗に攻撃を仕掛けてきます。こうした攻撃から守るためには、WEBアプリケーションの脆弱性を徹底的に払拭する方法もあります。

IPA(情報処理推進機構)では、「安全なウェブサイトの作り方」というガイドブックを無償で提供しています。このガイドブックでは、例えばOSコマンド・インジェクション攻撃を防ぐためには、外部プログラムを呼び出し可能な以下の関数の利用に注意するようにアドバイスしています。

外部プログラムを呼び出し可能な関数の例:

Perl: open(), system(), eval() など

PHP : exec(), passthru(), shell_exec(), system(), popen() など

このアドバイスを忠実に守ろうとすれば、社内のWEBアプリケーション内のコードをすべてチェックし、なおかつ利用しているフレームワークにも脆弱性が含まれていないかどうかを100%確認しなければなりません。

おそらく、OSコマンド・インジェクション対策だけでも、膨大な時間とコストをかけなければなりません。その手間を残る10個の攻撃パターンにも適応し、さらに新たな脅威にも備えていく必要があるのです。そのため、WEBアプリケーション保護に求められる高いスキルと専門知識を持つ人材には、高額な年俸が必要になるのです。

しかし、それは経営的な判断としては、正しい選択なのでしょうか。

WEBサイトの運営者にとっては、保護するためだけに高額なエンジニアを雇っていては、肝心の「サービスを開発するエンジニア」への投資が行えなくなってしまいます。

クラウド型WAFが解決する安全な運用とコストの低減

WAFを導入すれば、WEBアプリケーションに対する個別の防御対策を設定する必要がなくなり、包括的に保護できます。

しかし、従来のオンプレミス型のWAFでは、先に記載したような日々の運用業務が発生します。

WAFの運用のために、社内のWEBアプリケーション開発者の業務時間が削られてしまえば、それも会社にとっては生産性の低下や、新たなサービス開発の機会損失になってしまいます。

安全性を優先するのか、収益性を優先するのか、これまで多くの経営者が悩んできました。その問題を解決する最善の方法として、いま注目されているのがクラウド型WAFです。

クラウド型WAFは、WAFの防御機能をクラウド経由で提供するセキュリティ対策です。

自社のWEBサイトにアクセスする前に、クラウド型WAFを経由させることで、WEBアプリケーションに対する攻撃を防御させます。自社でWAFを運用する必要がないので、最新のシグネチャへの更新や不正アクセスの解析なども、すべてクラウドサービスとして提供されるので、社内にWAF専任者を配置する必要がありません。その分の人件費は、新たなWEBアプリケーション開発などに投資できます。

さらにクラウド型なので、ハードウェアの投資も不要なので、導入の初期コストも大幅に低減できます。コストが安くて防御性能は高いクラウド型WAFこそが、まさに理想のWEBガーディアンといえるでしょう。

Webサイトのセキュリティ強化の進め方

一方で、自社のWebサイトセキュリティに対して、「どこから手をつければ良いのか?」、「どこまで対応すれば良いのか?」「実際にはどのようなことが起きているのか?」といったお客様の声をよく伺います。

そこで、本コラムでは3本シリーズでそれぞれの疑問に対して、実例や分かりやすい説明を加えてご紹介したいと思います。

自社サイトのチェックについて

コラム第一弾「無料ウェブサイト攻撃兆候検出ツール「iLogScanner」のご紹介」では、どのように自社のWebサイトセキュリティに取り組めば良いかご紹介します。

大手金融機関のWAF運用について

コラム第二弾「金融業界のWEBサイト防衛に学ぶ最上級のセキュリティとは?」では、セキュリティ対策の最高峰と言える金融機関ではどのような対策が行われているのか?実際の対策内容を分かりやすくご紹介します。

サイバー攻撃「水飲み場」について

コラム第三弾「貴社のWEBサイトが『水飲み場』になっていませんか?」では、自社サイトが加害者になってしまう実例についてご紹介します。

それぞれのコラムではお役立ち情報がダウンロードできますので、あわせてご活用ください。