WRブログ

webサイト脆弱性対策のポイントVol.2 〜公開後・運用段階〜

webサイト脆弱性対策のポイントVol.2~公開後・運用段階~

前回の『webサイト脆弱性対策のポイントVol.1 〜設計・開発段階〜 』では、身近に存在する重要な情報と、それらを守るために設計・開発段階で必要なことについて紹介しました。

しかし、どれだけ入念にセキュリティの脆弱性に厳しく設計・開発をおこなっても、webサイトの安全性は時間と共に低下してしまいます。そこで今回は、webサイトの公開後に必要な脆弱性対策について解説していきたいと思います。

webサイトの安全性は時間と共に低下する

私たちが普段から利用するwebサイトは、毎日身につける衣服や、仕事で使う道具などと違い、時間の経過によってその機能やサイトが劣化することはありません。しかし、webサイトを取り巻く環境は、現代においても急激に変化を続けています。今も世界中では新しい技術やサービスが生まれるのと同様に、新しい攻撃手法やセキュリティホール(弱点)が発見されています。その度にwebサイトは、安全性が低下していると言えます。

つまり、公開後きちんと運用されていないwebサイトは、環境の変化に対応できず、思わぬセキュリティの脆弱性を生んでしまうのです。

脆弱性が原因で発生したトラブルの例

実際に脆弱性が原因で発生したトラブルにはどのようなものがあるのでしょうか。有名なものからいくつかご紹介したいと思います。

webサイトへの不正アクセスによる個人情報の漏洩

ハッカーや個人情報を狙う業者によって、データベースへのアクセスを許してしまい、そこから大量のデータを抜き取られてしまうという手法で、世界的にもっとも大きな被害を出しているのが、このような不正アクセスによる情報漏洩です。

これらは設計の段階から『クロスサイトスクリプティング』や『SQLインジェクション』の対策をしているかどうかで、トラブルの発生確率や、万が一トラブルに巻き込まれたときの被害拡大に大きく影響します。

※脆弱性の種類と主な被害については『webアプリケーション/webサイトの脆弱性診断(セキュリティ診断)について』 で紹介しております。

ウイルス感染によるデータ改ざん

個人で使っているパソコンから大手メーカーの工場のシステム内まで、幅広い被害を出すことが特徴なのがウイルス感染によるデータの改ざんなどの被害です。一度、感染してしまうと今度は自分が感染を広める側になってしまうこともあるため、もしも被害にあった場合には迅速に対応することが求められます。

社員のパソコンがネットワークによって全社と繋がれるようなシステムを組んでいる企業の場合被害はあっという間に拡大し、最悪の場合には事業の停止にまで追いやられてしまう可能性があります。

これらは、よく使っているパソコンやソフトのバージョンが古く、最新のセキュリティパッチが当たっていないセキュリティホールを突いたものが多く、日頃のちょっとしたセキュリティ対策で防げるものがほとんどです。

大量アクセスによる想定外の挙動

昨今のインターネット利用者の拡大に伴い、SNSやキュレーションメディアなどに取り上げられることで、想定を大幅に超えるアクセスが発生することがあります。「一時的にサーバーがダウンするだけ…」「エラーページが出て終わり…」と甘く見ていると、一部の処理だけが実行されなかったり、過去には顧客情報の一部が表示されてしまうようなトラブルも発生しています。

webサイトの脆弱性対策をするうえでは「できるだけ想定外を作らない」ことが重要です。仕様の要件を満たしていればいい、動作していれば問題ない、という甘さが取り返しのつかない事態に結びついてしまうかもしれません。

脆弱性対策はwebサイトを公開した後にも必要

前述したようなトラブルを防ぐためには、設計段階からの入念な脆弱性対策はもちろんですが、なにより公開後も継続して脆弱性対策を続けていくことが重要です。具体的には以下のようなことがあげられます。

脆弱性に関する情報を日々収集する

ソフトウェアやOSなどの脆弱性は突然発見されることがあります。新たな脆弱性が見つかれば、それを狙った攻撃方法やウイルスが作られあっという間に広がります。それらにいち早く対応するためには、日頃から自分たちが扱うツールや環境に関する脆弱性の情報を収集している必要があります。

セキュリティパッチを適用する

セキュリティパッチとは、ソフトウェアやOSなどに脆弱性やセキュリティホールが発見された場合に、それを修正するためのプログラムのことを言います。そのため、セキュリティパッチはソフトウェアやOSの製品ページなどで公開されることもあるため、こまめにチェックするようにしましょう。

定期的にバックアップを取る

万が一、不正アクセスやウイルスの感染などによって、データが消えてしまったり改ざんされてしまった場合に、それらを復元したり原因を特定する際に必要となります。特に、コンテンツを扱うようなwebサイトの場合、プログラムのリリースがなくても定期的にデータのバックアップをとっておくことをおすすめします。

脆弱性診断を行う

人、もしくは専用のツールを用いて、脆弱性が生まれそうな箇所に対して擬似攻撃をおこなってみたり、想定とは異なる使い方をしてみるなどして、webサイトのセキュリティをチェックすることを言います。脆弱性診断は特に、実施する人の知識や経験によって、その精度が大きく差が出てくるため、専門の企業に依頼することでプロの視点から、脆弱性を診断することができます。

まとめ

ここまで、webサイトの安全性と、公開後の脆弱性対策についてご紹介しました。


・webサイトの安全性は時間と共に低下する

・セキュリティ脆弱性は大きなトラブルの原因につながる

・webサイトを公開した後の脆弱性対策が重要

■脆弱性診断(セキュリティ診断)はお任せください

弊社が提供する「セキュリティ診断サービス」は、高い技術レベルの専門家が擬似攻撃を仕掛けるなど、貴社webアプリケーションやプラットフォーム、スマートフォンアプリ、データベース、システムの脆弱性やセキュリティにおける問題点を、 さまざまな観点・手法から診断するサービスです。詳しくはセキュリティ診断サービスをご覧ください。

■webサイト脆弱性対策に関するその他の関連記事

webサイト脆弱性対策のポイントVol.1 〜設計・開発段階〜
webサイト脆弱性対策のポイントVol.2 〜公開後・運用段階〜【本記事】
webサイト脆弱性対策のポイントVol.3 〜脆弱性が見つかった場合の対応〜
webサイト脆弱性対策のポイントVol.4 〜脆弱性対策のチェック項目〜

【参考URL】:
https://www.ipa.go.jp/files/000044736.pdf, (参照 2017年8月31日)