セキュリティコラム(第2回) : ウェブサイトを守れていますか?

このセキュリティコラムは、情報セキュリティに関する疑問や課題について専門家以外の方にもわかりやすく説明していくことを目的としています。第2回目は、企業の顔とも言えるウェブサイトを保護するためのセキュリティ対策の必要性について説明します。

ウェブアプリケーションの脆弱性を狙った攻撃の実態

セキュリティコラム(第1回)「脆弱性診断の必要性」で説明したとおり、ウェブサイトの多くは、ウェブアプリケーションと呼ばれる、ブラウザから利用可能なプログラムで構成されています。そのウェブアプリケーションには、設計・開発の不備に起因する特有の脆弱性が内在します。この脆弱性を狙った攻撃の代表的なものには、SQL インジェクション(以下、SQLi)*1、LFI(ローカルファイルインクルード)*2、XSS(クロスサイトスクリプティング)*3等があります。2017年11月から2019年3月までの17か月間におけるウェブアプリケーションへの攻撃のうち、実に65.1%がSQLiによるもので、攻撃件数はSQLi だけでも25億件を記録しているとの調査結果もあります*4。これらの脆弱性を事前に検知するには脆弱性診断を行う必要がありますが、脆弱性を放置したことによって攻撃を受けた際にはどのような被害が発生するのかを見ていきましょう。

 

*1:SQLi ウェブサイト上のお問合せフォームなどからデータベースに侵入し、顧客情報などを盗み出す攻撃

*2:LFI     ウェブアプリケーションの脆弱性を突いて、外部の端末から攻撃用のコードをウェブサイト上に挿入し、
                  ウェブサーバーに損害を与える攻撃 

*3:XSS  ウェブサイト上のお問合せフォームなどからシステムに侵入し、ウェブサイトなどを改ざんする攻撃

*4:アカマイ・テクノロジーズ合同会社「Web 攻撃と ゲーム業界への攻撃 」
   https://www.akamai.com/jp/ja/multimedia/documents/state-of-the-internet/soti-security-web-attacks-and-gaming-abuse-executive-summary-2019.pdf(最終閲覧日:2019年9月9日)

 

不正アクセスによって、どの程度の損害を被るのか

顧客情報やクレジットカード情報の流出が発生する原因としては、メール誤送信等の誤操作、USBメモリの紛失、置き忘れ、内部犯行や不正アクセスなどがあります。一般的に、内部犯行や不正アクセスでこれらの情報が流出した場合は、メールの誤送信、USBメモリと比較して桁違いの数の情報が流出することが知られています。特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が2019年6月に公開した「2018年情報セキュリティインシデントに関する調査報告書【速報版】」*5によると、2018年に発生した情報漏えいの件数は443件で、一件当たりの漏えい人数は1万3,334人とのことです。平均想定損害賠償額は、一件当たり6億3,767万円、一人当たり2万9,768円となっています。加えて、原因調査等に要する費用、事業中断による逸失利益や評判低下に伴う機会損失などの損害が発生する可能性もあります。

 

*5: 特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)
  「2018年情報セキュリティインシデントに関する調査報告書【速報版】」 https://www.jnsa.org/result/incident/2018.html(最終閲覧日:2019年9月9日)

ウェブサイトを狙った攻撃から守るためには

ウェブサイトを狙ったサイバー攻撃を防御するためには、サイバー攻撃からウェブサイトを守ることに特化したセキュリティ対策を導入することが効果的です。カメラのレンズやスマートフォンを購入した際に、汚れやキズからレンズや画面を保護するためにフィルターを付ける方も多いと思いますが、日々サイバー攻撃の危険にさらされているウェブサイトの保護フィルターの役目をする「ウェブアプリケーション・ファイアウォール」(WAF)というセキュリティ対策があります。

 

もし、本コラムを通じてWAFという用語を初めて知ったという場合には、まずは次の3点をチェックすることにより、自社のウェブサイトが守られているかどうかを確認することをお勧めします。

  1. 現在ご利用中のセキュリティサービスは、SQLi等のウェブアプリケーション特有の脆弱性からウェブサイトを防御することができる機能(WAF機能)を有しているか

  2. WAF機能により防御することができる場所にウェブサイトが設置されているか

  3. ウェブサイトをレンタルサーバー事業者等の委託先で運営している場合、委託先がどのようなセキュリティ対策を講じているか

WAFの導入は難しい?

多くのセキュリティベンダーがWAFを取り扱っていますが、一口にWAFと言っても、高額の専用機器を自社に設置して運用するタイプなど様々な製品が存在します。『SOMPO CYBER SECURITY』では、特に中小企業のお客さまが手軽にウェブサイトを防御することができる上、万が一に備えてサイバー保険も付帯している『SOMPO CYBER SECURITY クラウド型WAFサービス』をご提供しています。利用料金も低額で、ウェブサイトがレンタルサーバーやクラウド上にある場合でも導入することができるなど、導入のハードルが低いサービスですので、これを機会にウェブサイトへのセキュリティ対策を検討いただくことをお勧めいたします。

 

『SOMPO CYBER SECURITY クラウド型WAFサービス』の詳細は、こちらをご参照ください。

執筆者

平原 伸昭
(クラウドセーフ株式会社 代表取締役)

 

2002年に大手セキュリティベンダーに入社以来、 情報セキュリティ分野に従事し、不正プログラムに関する動向や解析、サイバー攻撃、サイバー犯罪、コンピュータに残された痕跡情報調査の分野に精通。多くの政府・企業・団体におけるセキュリティ事故への対応を経験。

 

2017年4月、 ITの安全、安心、簡単利活用で企業の成長に貢献したいという想いからクラウドセーフ株式会社を創業。

 

サイバーセキュリティに関して多くのIT関連記事を寄稿。
企業、団体へのセキュリティトレーニング、大手損害保険会社、上場企業、大手製造業、スタートアップ企業等の技術顧問を務める。

 

SOMPOリスクマネジメント株式会社サイバーセキュリティテクニカルアドバイザー、
警察庁「総合セキュリティ対策会議」委員、
愛知県警察サイバー犯罪・サイバー攻撃対策アドバイザー、
福岡県警察サイバー犯罪対策テクニカルアドバイザー、
北海道警察サイバー攻撃対策アドバイザー       などを務める。

 

GCFA(GIAC Certified Forensic Analyst )
CHFI (Computer Hacking Forensic Investigator)

SOMPOホールディングスグループは、
お客さまの「安心・安全・健康」に資する
最高品質のサービスをご提供し、
社会に貢献します。

page top