こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。
下記のようにセキュリティ対策について考えているお声を多く耳にします。
- ハッカーにサイバー攻撃のターゲットとされるのは大企業だけ。
- 自分の会社のWebサイトには、ファイアウォールを設置しているから外部から攻撃されない。
- セキュリティに関して全くの素人で、管理・運用するWebサイトがどのような対策を行えばよいのかわからない。
セキュリティ対策をどのように講じればよいかは、お悩みの方も多くいらっしゃると思います。最近の傾向では、サイバー攻撃の矛先が企業規模に関わらず向けられるようになってきています。Webサイトのセキュリティ対策が重要性を増しているいま、本記事ではコーポレートサイトへのサイバー攻撃の種類とセキュリティ対策について触れていきます。
Webサイトにまつわるセキュリティで最低限注意しておきたい、
最新のサイバー攻撃手法と対応する防御策について要点をまとめた図解解説はこちら
(無料公開中)ホワイトペーパー
「サイバー攻撃の最新手法と防御策とは?〜事例とあわせて解説〜」
目次
コーポレートサイトへのサイバー攻撃
最近は、WebサーバーやWebアプリケーションの脆弱性をターゲットとしたサイバー攻撃が増加傾向にあります。一般的なファイアウォールの設置では、Webサイト内で動作するWebアプリケーションの脆弱性をターゲットとした攻撃には対応できません。代表的なWebアプリケーションの脆弱性をターゲットとした攻撃に次のものがあります。
バッファオーバーフロー
大量のデータを送りつけることにより、アプリケーションのバッファ容量をパンクさせる攻撃です。処理容量を超える情報を送りつけられたアプリケーションでは誤作動が発生し、不正な命令が実行されるサイバー攻撃です。
ブルートフォースアタック
ブルートフォースアタックは、別名「総当たり攻撃」とも呼ばれています。無数のパスワードを自動生成し、ログインできるまで生成したパスワードで試行を繰り返す攻撃方法です。
SQLインジェクション
SQLは、数多くのアプリケーションで使用されているデータベース言語であり、データベースの定義や操作を行うために利用されています。そのSQLを不正に利用することにより、Webサイトに不正な命令を行い、データの改ざんや抜きとりを行います。
クロスサイトスクリプティング
スクリプトと呼ばれる簡易プログラムを、Webサイトへ不正操作により埋め込んだり、掲示板などに貼り付けたりして、トラップを設置する攻撃手法です。利用者がトラップにかかった状態で、特定のWebサイトを移動するとスクリプトが実行され、個人情報入力用のダミーサイトへ移動させられます。
コーポレートサイトのセキュリティ対策5選
Webサイトを安全に運用するためには、優先順位を定めて対策を講じることが必要です。ここでは、サイバー攻撃を防ぐ5つのセキュリティについてご紹介します。
ファイアウォール
日本語に直訳すると防火壁という意味になるファイアウォールは、インターネット上での不正アクセスを防止するセキュリティシステムのことです。ファイアウォールには様々な種類があり、オペレーションシステムに搭載されているものや、セキュリティソフトにより設置するものだけでなくルーターに搭載されているものや、企業単位で設置されているものなどがあります。どのファイアウォールにおいても、不正アクセスを防止するという目的は変わりありません。
脆弱性診断
IPSと呼ばれる侵入検知システムやファイアウォール、アプリケーション層の脆弱性を点検する診断です。診断結果をもとに、想定されるリスクから対策に優先順位を設定し必要な対策を提供します。
改ざん検知
Webサイトへ詐欺サイトやマルウェアを埋め込まれるなどして、不正な改ざんが行われ場合に検知するサービスです。サービスの中には、改ざんが検知された場合に、自動でメンテナンス画面へ遷移する機能を搭載したものもあります。
侵入防止システム:IPS(Intrusion Prevention System)
サーバーへの不正アクセスの中には、DoS攻撃と呼ばれる1秒間に1,000回以上もアクセスを行うものもあります。IPSでは、そのような攻撃を感知すると、不正アクセスの破棄やアクセス元のIPアドレスからの通信遮断を実行します。リアルタイムで実行されるため、過負荷によりサーバーダウンやサーバーのセキュリティホールを破って侵入を防止することが可能です。ファイアウォールの場合は、ポートを制限する方式のセキュリティ対策ですが、IPSの場合はファイアウォールで守られていないポートへの不正アクセスについても防御が可能です。
WAF(Web Application Firewall)
ファイアウォールの一種で、Webサイト上のアプリケーションに特化したものです。リアルタイムで通信の解析を行い、不正通信を遮断していきます。アプリケーションの脆弱性をターゲットとした攻撃は通常のファイアウォールでは対応できないこともありますが、WAFであれば対応が可能です。
コーポレートサイトセキュリティ強化の背景
国立研究開発法人情報通信研究機構によれば、サイバー攻撃は年々増加しており、2017年から2018年の1年間で40%以上の増加幅が記録されています。2008年からの10年間で考えると100倍近くに増加しており、皆さんのWebサイトもその危険にさらされていることを理解しなければなりません。現在では、多くの企業がインターネット上のセキュリティ対策を実施しています。
さいごに
デジタル社会に向けたセキュリティ対策の重要性
現在では、多くの企業がコーポレートサイトやECサイトを利用して経済活動を行っています。Web上のサイバー攻撃の巧妙化も進んでおり、企業にとっては大きな懸念材料となっています。一度、サイバー攻撃の被害に遭ってしまうと、企業イメージの低下だけでなく法的、世間的な責任の発生などにより、会社自体が立ちゆかなくなってしまうこともあります。そのようなサイバー攻撃から会社を守るため、セキュリティ対策を常に最新の状態に保っておくことをおすすめします。サイバー攻撃を防ぐため、セキュリティ対策を検討してみてはいかがでしょうか。
Webサイトにまつわるセキュリティで最低限注意しておきたい、
最新のサイバー攻撃手法と対応する防御策について要点をまとめた図解解説はこちら
(無料公開中)ホワイトペーパー
「サイバー攻撃の最新手法と防御策とは?〜事例とあわせて解説〜」
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
