こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。
コーポレートサイト運営者にとって、サイトのセキュリティ対策は必須課題です。しかし「社内のパソコンのセキュリティ対策は完璧に行っている」としても、実はサイバー攻撃の脅威からは完全には守られていないことをご存知でしょうか。
なぜなら、近年のサイバー攻撃はパソコンをターゲットとするものではなく、ネットワークそのものやWebアプリケーションが対象となっているものが多くなっているからです。しかもWebアプリケーションに対するサイバー攻撃は通常のセキュリティソフトやファイアウォールだけでは防ぐことが難しく、専用のセキュリティ対策の必要性について触れていきます。
目次
コーポレートサイトはサイバー攻撃の対象として狙われている
冒頭でも述べた通り、コーポレートサイトは昨今多くのサイバー攻撃を受けています。サイバー攻撃の件数は年々増加しており、国立研究開発法人情報通信研究機構(NICT)の調査では、2011年から2020年までで以下のような結果が出ています。
| 年 | 年間総観測パケット数 |
| 2011 | 約45.4億件 |
| 2012 | 約77.8億件 |
| 2013 | 約128.8億件 |
| 2014 | 約256.6億件 |
| 2015 | 約545.1億件 |
| 2016 | 約1281億件 |
| 2017 | 約1504億件 |
| 2018 | 約2121億件 |
| 2019 | 約3220億件 |
| 2020 | 約5001億件 |
驚くべきことに、2011年から2020年までの10年間でサイバー攻撃の件数は100倍以上もの増加です。しかも、上のデータは国立研究開発法人情報通信研究機構(NICT)が観測したサイバー攻撃のみを統計した結果なので、日本全体や政府機関に対するものまで含めると、さらに多くのサイバー攻撃が行われていると考えられます。
1年間で5000億件を超えるサイバー攻撃が発生しているという事実だけでも驚異的ですが、問題は近年のサイバー攻撃にWebアプリケーション対象のものが増えているということです。
Webアプリケーションはサイト運営において非常に便利ですが、サイトの運営者側でセキュリティ強化を行うことは難しい点がネックです。しかも、すでに述べたようにWebアプリケーションを対象とするサイバー攻撃は従来のファイアウォールなどでは防げないため、別途対策を講じる必要があります。その対策方法が自社のネットワーク全体を守るセキュリティ対策なのです。
企業に対するサイバー攻撃の種類は年々多様化している
ちなみに2020年からはコロナショックの影響でテレワークが増え、働き方もこれまでとは大きく変わってきています。情報処理推進機構(IPA)によると、2021年版の「情報セキュリティ10大脅威」は以下のようになっており、3位に以前はなかった「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインしていることから、サイバー攻撃も働き方の変化に合わせてターゲットを多様化してきていることがわかります。
| 順位 | 内容 |
| 1位 | ランサムウェアによる被害 |
| 2位 | 標的型攻撃による機密情報の窃取 |
| 3位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 4位 | サプライチェーンの弱点を悪用した攻撃 |
| 5位 | ビジネスメール詐欺による金銭被害 |
| 6位 | 内部不正による情報漏えい |
| 7位 | 予期せぬIT基盤の障害に伴う業務停止 |
| 8位 | インターネット上のサービスへの不正ログイン |
| 9位 | 不注意による情報漏えい等の被害 |
| 10位 | 脆弱性対策情報の公開に伴う悪用増加 |
このように年々多様化するサイバー攻撃に対抗するためにも、主要なサイバー攻撃の種類と自社ネットワークを守る術を知っておくことが大切です。
Webサイト・アプリケーションが受けるサイバー攻撃の種類
しっかりと危機意識を持つためにも、もしセキュリティ対策をしないままでコーポレートサイトを運営した場合どうなるのかも見ておきましょう。以下に挙げた3つのサイバー攻撃はWebサイトを狙った代表的な攻撃手段です。
SQLインジェクション
SQLインジェクションとは、Webアプリケーションの脆弱性を突くことでデータベースシステムを不正に操作する攻撃方法のことです。SQLというのはデータベースの定義や操作を行うためのデータベース言語の一つ。
SQLは多くのWebアプリケーションで使用されていますが、不正なSQLの入力によってコーポレートサイトに対して強制的に命令を実行し、データの窃盗や改ざんを行います。
SQLインジェクションによる攻撃を受けてしまうと、サイト利用者の名前やID、パスワード、クレジットカード番号といった個人情報を奪われてしまう可能性があります。また、サイトの情報が改ざんされた場合、アクセスしてきた利用者をウィルスに感染させてしまうリスクも生じます。
クロスサイトスクリプティング(XLL)
クロスサイトスクリプティング(XLL)は不正な操作によってコーポレートサイト内にプログラム付きのリンクなどを設置し、利用者に罠を仕掛けるサイバー攻撃です。
Webアプリケーションを用いて掲示板を利用しているような場合、掲示板にスクリプトが埋め込まれたURLを書き込むなどの手段で罠を仕掛けていきます。
サイトの利用者がリンクをクリックして罠に掛かると、再びコーポレートサイトを閲覧しようとした際に自動的にスクリプトが作動し、個人情報を入力する偽サイトへと誘導が行われます。この時、偽サイトはコーポレートサイトの個人情報入力画面によく似せて作られていることが多く、利用者は本物のコーポレートサイトと信じて個人情報を入力してしまいます。そこで入力された個人情報を盗み出すというのがクロスサイトスクリプティングの手口です。
バッファオーバーフロー
バッファオーバーフローは、Webアプリケーションのバグを狙ったサイバー攻撃です。Webアプリケーションは一時的に情報を保存する領域=バッファを超える量のデータを送られるとデータが処理しきれずに溢れ、誤作動を起こしてしまいます。バッファオーバーフローはそのようなWebアプリケーションが正常に動かないタイミングを狙って乗っ取りを行います。
過去には2000年に中央省庁がバッファオーバーフローのサイバー攻撃を受けて管理権限が乗っ取られ、ホームページの改ざんやデータの消失が起きたことがあります。また、2015年にはFacebookが攻撃を受けて過負荷状態に陥り、サービスが停止する事態になりました。
サイバー攻撃による個人情報漏えいで倒産するリスクもある
これまでに説明してきたように、自社ネットワークやWebアプリケーションの脆弱性を突くサイバー攻撃を放置しておくと個人情報の漏えいなどが発生するリスクが常に伴います。
クレジットカード番号などの情報流出が発生すれば企業の信用は失われ、イメージダウンは避けられません。それだけでなく、漏えいした情報によっては企業が倒産に追い込まれるような事態になることもあるため、危機感と責任感を持ってセキュリティ対策に取り組む必要があります。
コーポレートサイトは自社ネットワーク全体を守る施策を行うことが大切
サイバー攻撃から自社のコーポレートサイトを守るためには、自社のネットワーク全体を守るセキュリティ対策を行わなければいけません。
それでは具体的にどんな施策を実施すれば良いのか触れていきます。
脆弱性に対するセキュリティ対策1:脆弱性診断
まず最初に行うべきことは脆弱性診断です。
脆弱性診断とは、ファイアウォールや侵入検知システム(IPS)などのネットワークデバイス、アプリケーション層の脆弱性を検査するサービスを指します。脆弱性診断を行えばコーポレートサイトのネットワークやWebアプリケーションにある脆弱性を発見して対処法を知り、リスクの高さに応じた対応の優先度を把握することができます。
脆弱性診断はウィルス対策やWebアプリケーションのバージョンアップといった基本的な対策に次いで有効な施策であり、比較的安価かつ短期間で実施できることから費用対効果も高いセキュリティ対策です。
脆弱性に対するセキュリティ対策2:改ざん検知
改ざん検知も自社ネットワークとコーポレートサイト利用者を守る上で非常に重要です。
改ざん検知のサービスは、マルウェアや詐欺サイトの埋め込みといった不正な改ざんがコーポレートサイトに対して行われた場合にすぐ察知して知らせてくれます。さらに、サービスによっては改ざんが実行されると自動的にメンテナンス画面に移行するよう設定できるものもあり、サイバー攻撃を受けた際にも利用者を守る対策を事前に取ることが可能です。
脆弱性に対するセキュリティ対策3:WAF(Web Application Firewall)
脆弱性診断、改ざん検知と併せて利用したいのがWAF(Web Application Firewall)です。
WAFはWebアプリケーションに特化したファイアウォールで、アプリの通信をリアルタイムに解析することで不正な通信を妨げます。利用者が入力を行ったりリクエストに応じた動的なページ生成を行う動作へのサイバー攻撃に対して有効です。通常のファイアウォールでは対処しきれない脆弱性もWAFを使えば防ぐことが可能になります。
WAFはクラウド型のサービスならコーポレートサイト側での運用が不要、かつ安価で利用できるため、優先的に導入したいセキュリティ対策です。
さいごに
何重も対策を講じセキュリティは常に最新にアップデートする2020年の時点でWebサイトは年間5000億件以上ものサイバー攻撃を受けています。コーポレートサイト運営者は日々サイバー攻撃の脅威に自社ホームページが晒されているという事実と向き合い、効果的なセキュリティ対策を行わなければいけません。
今回記事内で紹介した脆弱性診断、改ざん検知、WAFはいずれもWebアプリケーションを含む自社ネットワーク全体を守るセキュリティ対策として有効な施策です。クラウド型のサービスであればコストを抑えつつ導入の手間も省いて利用できるため、積極的に導入を検討することをおすすめします。
そして、最も重要な点は2重3重のセキュリティ対策を講じた上で、システムやWebアプリケーションのバージョンを常に最新にアップデートしておくことです。セキュリティ対策と最新のシステムの両立によって、コーポレートサイトの脆弱性対策はより堅牢になります。記事内で紹介した施策を確実に行い、コーポレートサイトを安全に運営していくことをお勧めします。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
