Webサイトにおける脆弱性とは
Webサイトの脆弱性とは、プログラムの不具合や設計上のミスなどが原因で発生する情報セキュリティの欠陥です。脆弱性はセキュリティ上の穴となるため、「セキュリティホール」と呼ばれることもあります。
ここでは、Webサイトの脆弱性によってどのようなリスクが発生するのか、代表的な例を5つ解説します。
SQLインジェクション
「SQL」とは、データベースを操作する言語のことです。SQL文を入力することで、大量のデータから任意の情報を取り出したり、データを追加したりが簡単に行えます。
SQLインジェクションとは、外部から不正なSQL文を含んだリクエストを送信して、悪意を持ってデータベースを操作する攻撃です。データベースという巨大な情報資産がターゲットになることから、企業や組織にとっては特に注意が必要なサイバー攻撃といえます。
たとえば、数十万件にのぼる大量なデータの流出、顧客情報の意図的な改ざんなど、大きな損害につながる可能性があるのです。
OSコマンドインジェクション
「OSコマンドインジェクション」とは、Webサイトに不正な入力を行い、サーバー側が想定していないような誤作動を起こさせる攻撃です。主なターゲットとしては、ユーザーからデータや数値の入力を受け付けるWebサイトがあげられます。
入力を受け付けるWebページがOSコマンドを呼び出す機能を持っている場合、ユーザーの入力に第三者が不正なコマンドを紛れ込ませて、OSへ不正な命令を伝達するといったことができてしまいます。その結果、情報の改ざんや漏えい、不正な削除、ウイルス感染といった被害を生み出すのがOSコマンドインジェクションです。
クロスサイトスクリプティング
「クロスサイトスクリプティング(XSS)」とは、脆弱な入力フォームや掲示板などに罠を仕掛け、そこにアクセスしたユーザーの個人情報などを盗む攻撃のことです。罠を仕掛けたWebサイトから、標的となる別のサイトにユーザーを誘導し、本来想定していない機能(スクリプト実行など)をブラウザ側で実行させるというのが具体的な仕組みです。
このように、異なるWebサイトをまたいで攻撃を行うことから、「クロスサイト」という表現が用いられています。また、こうした攻撃を受けてしまう脆弱性そのものを指して、クロスサイトスクリプティングと表現することもあります。
ディレクトリトラバーサル
ディレクトリトラバーサルは、ディレクトリパスをさかのぼり、Webサーバーの非公開ファイルに不正なアクセスを行う攻撃手法です。通常でも閲覧が可能な公開ファイルが置かれているディレクトリから、非公開ファイルが存在するディレクトリ階層へと「トラバース(横断)」することから、ディレクトリトラバーサルという名称がつけられています。
一般公開を想定していないファイルにアクセスされてしまうことから、情報漏えいやデータの改ざん、アカウントのなりすましといったさまざまな損害を引き起こす可能性があります。
バッファオーバーフロー
「バッファオーバーフロー」とは、バッファの許容量を超えるデータを送り込み、それを悪用してシステムの誤作動を引き起こすことです。バッファオーバーフローによる攻撃を受けると、実行中のプログラムが強制停止したり、アクセス権限が乗っ取られたりといった被害につながります。
また、悪意のある第三者によって攻撃コードが実行されると、最悪の場合はコンピュータ全体の制御が失われるケースもあります。
脆弱性への対策が必要な理由
Webサイトの脆弱性を放置すれば、さまざまなサイバー攻撃のリスクが高まり、企業活動に重大な影響を及ぼす可能性があります。具体的なリスクとしては、機密情報や顧客情報の漏えいによる信用の毀損があげられます。
たとえば、ECサイトを取り扱っている企業では、サイバー攻撃により顧客のクレジットカード情報が流出してしまうといった重大な影響が考えられるでしょう。また、不正アクセスによるWebサイトの改ざん、マルウェア拡散などにより、自社のサイトにアクセスしたユーザーに被害が及んでしまうケースもあります。
そうなれば、単に自社の利益が損失するだけでなく、社会的な信頼を失ってしまうことにもつながります。現在のビジネス環境において、Webサイトの脆弱性改善は必須の対策といっても過言ではありません。
Webサイトの運営で押さえておきたい脆弱性対策
それでは、実際にWebサイトを運営するうえで、どのようなセキュリティ対策が必要となるのでしょうか。ここでは、4つの分野における脆弱性対策について解説します。
ネットワークのセキュリティ対策
まずは、Webサーバーが置かれているネットワーク自体のセキュリティを確認することが大切です。基本の対策としては、第三者の不正アクセスを防ぐために、「ファイアーウォール」で通信のフィルタリングを行うことがあげられます。
IPアドレスやポート番号でアクセスを制限し、不正アクセスを監視したりブロックしたりする仕組みであり、外部からの侵入を防ぐ第一の防御壁ともいえるでしょう。そのうえで、ファイアーウォールで防ぎきれない攻撃に対しては、「IPS(不正侵入防止システム)/IDS(不正侵入検知システム)」で対策します。
また、リスクを最小限にとどめるためには、ルーターなどで外部からの不要な通信をシャットアウトしておくのも効果的です。
サーバーのセキュリティ対策
次に、サーバーのセキュリティ対策を行いましょう。サーバーのOSやソフトウェアは定期的な更新を行い、最新のバージョンにしておくことが大切です。
また、ディレクトリトラバーサルによる情報流出を避けるためにも、ファイルやディレクトリのアクセス制御は必ず行っておきましょう。そのうえで、「不要なアカウントを削除する」「権限を付与する範囲などを明確に決めておく」といった人的な管理も重要となります。
そのために、各アカウントのデータは一元管理しておき、いつでも必要な情報を取り出せるように整えることも重要です。
Webアプリケーションの対策
Webアプリケーションについては、開発の時点で十分な脆弱性対策を行っておくことが前提となりますが、保険としてWAF(Web Application Firewall)を導入しておくのも大切です。WAFとは、Webアプリケーションの脆弱性をついた攻撃を検知し、通信をシャットアウトする仕組みです。
WAFは攻撃からWebサイトを保護するとともに、脆弱性に関する課題を発見してから解消するまでの猶予を生み出せるという効果もあります。つまり、最初からセキュリティホールを一切作らないことを目指すのではなく、セキュリティホールをできるだけ早くふさぐことに重きを置いたシステムといえるでしょう。
また、Webアプリケーションについても、定期的なバージョンアップによってシステムを最新の状態に整備しておくことが大切です。
その他の対策
その他の対策としては、「常時SSL化」による通信の安全性を確保する方法があげられます。常時SSL化とは、通信を暗号化することによって、データの改ざんや流出、盗聴などを予防する方法です。
常時SSL化されているサイトは、URLの冒頭が「http」から「https」へ変わるため、「HTTPS化」とも呼ばれています。通信の安全性が高まるため、ユーザーに安心感を与えられるとともに、Googleなどの検索エンジンアルゴリズムでも高く評価されるのが利点です。
SEOで不利にならないための基本的なポイントでもあるため、現在ではWebサイトを立ち上げるうえで必須の手続きといっても過言ではありません。それ以外の対策としては、「定期的に外部の脆弱性診断を受ける」「従業員のセキュリティ教育を徹底する」といったものもあげられます。
これらの取り組みは、意思決定を行う経営陣や管理者がどの程度セキュリティへの意識を持っているかによって、実施の度合いが変わってしまうのが特徴です。安全なWebサイト運営を行ううえでは、経営者自身の意識改革も重要なポイントといえるでしょう。
まとめ
Webサイトの脆弱性は、そのままにしておけば企業の利益や信用を損失につながる重大なリスクをはらんでいます。影響やダメージの大きさを考えれば、脆弱性対策はWebサイトを運営するうえで切っても切り離せない手続きといえるでしょう。
しかし、はじめからまったく穴のないセキュリティシステムを構築するのは現実的ではありません。サイバー攻撃の手口も巧妙に進化していることから、セキュリティ対策に対する意識も日々改めていく必要があるといえます。
安全なサイト運営を行うためにも、脆弱性によってどのような影響があり、どのような対策を行うべきなのかを知っておきましょう。
デパート採用情報
株式会社デパートでは一緒に働く仲間を募集しています
