最新コラムをお届け メールマガジン登録
お問い合わせ
  • TOP
  • コラム
  • 情報セキュリティ管理者“伊藤”の「インターネットセキュリティ」講座-4

2015.04.24

ホームページを乗っ取られないために(その2)

 前回のコラムはホームページの脆弱性が狙われること、ホームページが乗っ取られた場合の影響や損失などについてご説明しました。今回はサイバー攻撃に対して、どういった対策をとることができるのかをお伝えします。

脆弱性への対策は?

プログラムの穴
 ウェブアプリケーションの脆弱性が発見されると、ウェブアプリケーション開発者は修正プログラムの提供を行います。ホームページに修正プログラムを適用することで脆弱性は解消され、ホームページのプログラムに対するアップデートは高い効果があると言えます。

 しかし脆弱性が発見された直後や、開発者がすでに活動を停止して対応が一切されないということもあるでしょう。さらに、脆弱性そのものが認知される前に「ハッカー」にだけ知れわたり、そこを攻撃される(いわゆるゼロデー攻撃)事例もあります。
 修正プログラムの適用を適切に行うのは実際には困難であり、現実的でないかもしれません。それでも修正プログラムの適用は最低限の対策であると言えます。

 脆弱性や対策については一般社団法人 JPCERT コーディネーションセンター(JPCERT)独立行政法人情報処理推進機構(IPA)、両者が共同で運営しているJapan Vulnerability Notes(JVN)などが情報を発信していますので、ご参考にしてください。

ウェブアプリケーションへの攻撃を防御するWAF

 公になっていない脆弱性や、修正プログラムが提供されていない場合の防御ツールとして「WAF」
(ワフ:WebApplicationFirewall)の導入効果が高いと言われています。


 WAFは脆弱性に対する攻撃やホームページから内部ネットワークへの侵入、ウェブアプリケーションから情報を盗み取ることなどを防御する機能をもっています。特に修正プログラムの提供がされない場合や、修正対応の実施までに時間が必要なときに有効だと考えられます。

 WAFが防御している時間を使い、修正パッチの適用やホームページの改修を行えるというわけです。ホームページの閉鎖などが回避できる可能性も高く、通信販売など収益に直結するサービスが継続できること、何よりも加害者にならずに済むことのメリットは大きいでしょう。

 しかし、セキュリティに関することですから100%の安全を保証するものではありません。WAFで防御力を高めることと同時に、脆弱性を早期に発見して修正を行う、というサイクルでの運用が重要となります。

WAFの運用/負担が大きい?

 WAFにはハードウェア型やソフトウェア型があります。どちらもホームページを運用しているサーバやシステムに組み込む形となります。ハードウェア型はカスタマイズへの対応がしやすいとも言われますが、ハードウェアの導入から行う必要もあり、導入まで時間と費用が必要となります。
 また運用面では最新の攻撃に対応できるように、WAFのプログラムを常にアップデートしておく必要があります。

 アップデートプログラムはWAFの販売元から提供されますが、セキュリティに関するものなので緊急時には昼夜を問わずに提供されることもあります。システム担当者は常に最新の状態を維持しておくことが要求されるので、マンパワーの問題も無視できない課題となります。
 そのため導入をあきらめるといった状況も聞かれます。 

クラウド型WAFで負荷の軽減

クラウド型WAF
 そこで注目されているのが「クラウド型WAF」です。ハードウェア型、ソフトウェア型と異なるのはWAFをホームページ側に持たないことです。

 WAFの機能をクラウド側に持たせるため運用はクラウド側の運営者が担う形となり、マンパワーの問題を解決します。また、複数のホームページに対する攻撃を集中して管理するため、プログラムのアップデートも効率的に実施できるといった効果が期待できます。

 ホームページとの連携も簡単な設定で実施でき、最短1週間程度で導入が完了するものもあります。何よりもWAF導入によってホームページ側ではハードウェア、プログラムともに大規模な改修が必要ないという点でのメリットが大きいようです。
 一方、カスタマイズの必要がある場合や、複数のURLを運用している場合などではハードウェア型やソフトウェア型の方がマッチするケースもありますので、自社のホームページの状況から選択することをお勧めします。

WAFの詳細な資料は独立行政法人情報処理推進機構(IPA)でも提供されていますので参考にしてください。http://www.ipa.go.jp/about/press/20110228.html



「TDBサーバ証明書発行サービス」



情報セキュリティ管理者“伊藤”
帝国データバンク顧客サービス統括部ネットワークマーケティング課課長として、実務を通じて情報セキュリティに関する経験を日々重ねている。
 
 
 
 

<<一覧に戻る

TDBカレッジ知識度チェック

【問250】2021年3月期までに収益認識基準を早期適用した上場企業は何社程度でしょうか?

  • Recommend

    講師一覧

    クリックすると、このホームページ運営企業がTDB企業サーチで表示されます。
    TDB企業コード:986700000
    PAGE TOP