Webサイトへのサイバー攻撃の動向
IPA(「独立行政法人 情報処理推進機構」、以下IPA)が2021年1月に発表した「ソフトウェア等の脆弱性情報に関する届出状況」によれば、2020年におけるWebサイトに関する脆弱性の届出件数は755件と、2018年と比較して3倍以上に増えていることが明らかにされています。「脆弱性」とは、ソフトウェア製品などにおけるセキュリティ上の問題箇所のことです。
また、個人情報が適切なアクセス制御のもとに管理されていないケースなど、運営者の不適切な管理によってセキュリティが保てなくなっている状態も含まれます。IPAでは、関係者や一般の発見者がサイトの脆弱性を見つけた際に、任意に届出が行える仕組みです。
そのうえで、近年のサイバー攻撃に見られる特徴として、「サプライチェーン攻撃」の増加があげられます。サプライチェーン攻撃とは、「仕入れ・製造・流通・販売」といった一連の流れにまで範囲を広げ、いずれかの穴を見つけて侵入を試みる手法です。
従来のサイバー攻撃は、どちらかといえば大企業や行政といった大きな組織がターゲットとなる傾向にありました。しかし、これらの組織は高度なセキュリティ対策が導入されていることから、侵入が容易ではなくなってきています。
そこで、供給の川下にあたる中小企業のセキュリティに侵入し、そこからサプライチェーン全体にターゲットを切り替えるというパターンが増えているのです。そのため、中小企業におけるセキュリティ対策の重要性も、年々高まっているといえるでしょう。
Webサイトのセキュリティリスク
Webサイトのセキュリティリスクには、具体的にどのようなものがあるのでしょうか。ここでは、代表的なリスクとそれにともなう影響について解説します。
Webサイトの改ざん
代表的な被害としてあげられるのが、Webサイトの改ざんです。具体的にはアプリケーションやサーバーの脆弱性を突き、Webサイトの内容が書き換えられ、不適切な画像やメッセージが表示されてしまうというケースがあげられます。
そのうえで、近年ではマルウェア(悪質なシステムやコード)を埋め込み、Webサイトの訪問者の情報を抜き取るなど、顧客にも重大な影響を与える手法が広がっています。
DDoS攻撃
Webサイトやサーバーに対して過剰なアクセスやデータ送付を行い、負荷をかけることで停止に追い込むことを「DoS(ドス)攻撃」と呼びます。「DDoS(ディードス)攻撃」とは、DoS攻撃を複数のコンピューターから大量に行うことです。
DDoS攻撃を受けてしまうと、サーバーやネットワーク機器に過度な負担が集中し、サイトの遅延が起こりやすくなります。最悪の場合、サイトが停止してしまう恐れがあるばかりか、踏み台となってWebサイトへの攻撃にも悪用されてしまうリスクがあります。
ゼロデイ攻撃
ゼロデイ攻撃とは、OSやミドルウェアなどをはじめ、プログラムの未知の脆弱性を突いた攻撃のことです。セキュリティの脆弱性が発見されてから、その対策が講じられる前に攻撃を狙うことから、日にちを空けないという意味で「ゼロデイ」という名前がつけられています。
基本的には、開発元も気づいていない脆弱性を突かれるため、はじめからリスクをゼロに抑えるのは現実的ではありません。それよりも、侵入されることを前提にして、対策を講じるまでの無防備な空白期間をできるだけ縮小する点に意識を向ける必要があります。
そのためには、速やかに攻撃を「検知」できる仕組みを導入し、被害の最小化に努めることが大切です。
ブルートフォース攻撃
暗号解読方法の1種であり、アカウントのパスワードを総当たり方式で解読する方法です。「総当たり攻撃」や「力任せ攻撃」とも呼ばれており、シンプルな方法ではありますが、コンピューターを用いた自動化によって効率が高まっているので対策は必須といえます。
特に、短く類推されやすいパスワードを設定していると、解読される危険性が高まるので注意が必要です。当然ながら、パスワードが解読されれば、不正アクセスや情報漏えい、Webサイトの改ざんなどが行われて大きな被害が発生してしまいます。
クロスサイトスクリプティング
脆弱性のあるWebサイトに罠を仕掛け、訪問したユーザーを悪意のあるWebサイトへ誘導して個人情報を詐取したり、マルウェアに感染させたりする手法です。Webサイトが書き換えられてしまうだけでなく、フィッシング詐欺のページが表示され、知らず知らずのうちに攻撃に加担してしまうケースなどもあります。
セキュリティ対策を行ううえで検討しておきたいポイント
サイトの脆弱性を解消するためには、セキュリティの穴を一つずつ丁寧にふさいでいくことが基本となります。ここでは、セキュリティ対策を行ううえで検討すべきポイントについて、4つの観点に分けて見ていきましょう。
ネットワーク
ネットワークは、Webブラウザとサーバー間でデータをやり取りするための通信経路となります。ネットワークにおける主なリスクとしては、イレギュラーな大量パケットがもたらされるDoS攻撃や、不正な通信による情報漏えいなどがあげられます。
これらの侵入を遮断するために、ファイアウォールやIPS/IDS、ルーターなどの機器が用いられます。
アプリケーション
アプリケーションは、Webブラウザからのアクセスに応じて、適切なコンテンツを表示する役割を果たします。また、検索機能のように、ユーザーの入力に従って動的に内容を変化させるといった機能も含まれます。
アプリケーションの利用にあたっては、ユーザーに対してアカウントを発行して、ログインさせる方式をとっているWebサイトも多いです。この場合、データの入出力や認証システムに不備があると、不正アクセスや情報漏えいのリスクが生じます。
サーバー
サーバーは「何らかのサービスを提供するコンピューター」の総称です。具体的な機能は、個々のコンピューターや端末からの要求に対して、適切なデータをそれぞれ送り返すというものです。
たとえば、Webブラウザからのアクセスに応答したり、そのコンピューター上で処理を行ったりする役割を持っており、サーバーを通して個々のコンピューターが働くことで、はじめてシステム全体が作動します。このことから、サーバーは「システムの司令塔」と表現されるケースも多いです。
それだけに、サーバーに脆弱性があれば、システム全体に大きな影響を及ぼすリスクがあります。
その他のインフラ
Webサイトを運用するうえでは、上記の項目以外にも、さまざまなインフラ整備に目を向ける必要があります。たとえば、社内向けと社外向けで異なるシステムを利用している場合には、それぞれにセキュリティ対策が求められます。
また、各種のサービスについてもオンプレミス型とクラウド型を併用していたり、複数のクラウド環境を利用していたりする場合には、それぞれのセキュリティをチェックしておかなければなりません。これらのサービスを提供している事業者の情報を確認し、どの範囲まで責任を負ってもらえるのか、リスクに対してどのように備えているのかなども調べておきましょう。
そのうえで、必要があれば、利用する事業者やサービスを乗り換えることも検討しなければなりません。
Webサイトのセキュリティ対策
Webサイトのセキュリティ対策は日々進化している一方、攻撃の手口も多様化しているのが現状です。際限なく対策を行おうとすれば、労力やコストの面で大きな負担が発生してしまうため、「どこまで追求すべきなのか」という点で迷ってしまうこともあるでしょう。
ここでは、Webサイトを立ち上げるうえで対策しておきたい基本的なポイントをご紹介します。
セキュリティ診断を行う
Webサイトを構築したら、まずは現状のセキュリティをチェックする必要があります。はじめからセキュリティの穴がないサイトを作るのは現実的に難しいため、必ず運用をスタートする前に全体の確認をしましょう。
その際、自社で一つずつチェックするだけでは見落としてしまう可能性があるため、外部のセキュリティ診断サービスを活用するのも有効な方法です。
常時SSL化
「SSL化」とは、通信を暗号化してデータの改ざんやなりすまし、盗聴などを防ぐ方法です。常時SSL化されたサイトのURLは、「http」ではなく「https」と表示されるようになるため、「HTTPS化」と呼ばれることもあります。
常時SSL化は利用者の安全確保に役立つとともに、Googleなどの検索アルゴリズムでも高く評価されるのがメリットです。さらに、Webサイトの表示速度も向上するため、ユーザーにとって使いやすい設計が実現できるのに加え、SEO上の評価も高くなります。
そのため、常時SSL化はWebサイトを立ち上げる際に必須のプロセスといっても過言ではありません。ただし、実行するためには、各ドメインにおいて有料の「SSLサーバ証明書」が必要となります。
ネットワークのセキュリティを強化する
続いて、ネットワークのセキュリティ強化も行う必要があります。具体的な対策としてはいくつかの方法があげられますが、代表的なものに「ファイアウォール」による通信のフィルタリングがあります。
これは、IPアドレスやポート番号でアクセスを制限し、不正なアクセスがないかを監視したりブロックしたりする方法です。そのうえで、ファイアウォールでは防げないDoS攻撃などに対しては、「IPS(不正侵入防止システム)/IDS(不正侵入検知システム)」の導入によって対策しましょう。
また、ルーターなどで外部からの不要な通信をシャットアウトしたり、ログの管理をこまめに行い、原因の特定をしやすくしたりすることも大切です。
サーバーのセキュリティを強化する
サーバーのセキュリティについては、基礎的な管理を丁寧に行うのが基本となります。たとえば、「退職者などの不要なアカウントを削除する」「ユーザーごとの用途をはっきりさせる」「権限の付与・制限などを明確に設定する」といったポイントがあげられます。
アカウントの一覧を作成して、いつでも確認できるように整備しておくと良いでしょう。
Webアプリケーションのセキュリティを強化する
Webアプリケーションの脆弱性を解消するには、どのようなリスクが想定されるかを把握しておき、それに合わせて対策を行うことが大切です。主なポイントとしては、「不要なファイルを公開しない」「いらなくなったファイルやページは削除する」「こまめなログ管理が行えるように環境を整える」といった点があげられます。
また、使用するソフトウェアに脆弱性が見られないかもチェックし、必要があればバージョンアップなどの対応をすることも大切です。この場合、既存のフレームワークとの組み合わせによっては不具合が生じる可能性もあるので、しっかりとテストを行いましょう。
Webサイトの改ざんを防ぐ
最後に、Webサイトの改ざんを防ぐための対策を検討します。利用するCMSやプラグインによっては、そもそも脆弱性に課題を抱えているという可能性もあるので、環境構築の段階で十分に精査することが大切です。
そのうえで、Webサイトの改ざんについても、やはり完全にリスクを回避できるシステムを構築するというのは現実的な選択ではありません。それよりも、不具合にすぐ気づけるように、改ざん検知システムを用いるのが有効です。
改ざん検知システムには、大きく分けてエージェント型とクラウド型の2種類があり、それぞれ特徴が異なります。利用する際には、サイトの規模や目的、予算などを踏まえて最適なものを選びましょう。
まとめ
Webサイトは誰からでも気軽にアクセスできるという性質を持つことから、サイバー攻撃の対象になりやすい特徴があります。セキュリティの脆弱性を放置すれば、自社のサイトが改ざんされてしまったり、情報が流出してしまったりなどのさまざまなリスクが発生します。
また、サイトの訪問者にも被害が及んだり、取引先からの信用に傷がついたりと、二次的な被害が生まれる可能性も考えられるでしょう。しかし、どのような攻撃も回避できる完璧なセキュリティ環境を構築するのは現実的ではありません。
定期的な脆弱性診断の実施や素早い検知システムの導入など、運営と並行して行うセキュリティ対策にもしっかりと目を向けましょう。
デパート採用情報
株式会社デパートでは一緒に働く仲間を募集しています
